正如我从这篇文章中学到的,当从www.a.com
发出AJAX请求到时www.b.com
,是由www.b.com
决定是否应允许该请求。
不完全的。该请求未被阻止。
默认情况下,运行的JavaScript www.a.com
禁止访问的响应www.b.com
。
CORS允许www.b.com
授予JavaScript www.a.com
访问权限。
但是,在这种模式下,什么可以在客户端上完全保证呢?
它使作者的访问者www.a.com
无法www.b.com
使用访问了两个站点并通过身份验证www.b.com
(因此可以访问非公开数据)的用户的浏览器读取数据。
例如,爱丽丝已登录Google。爱丽丝访问malicIoUs.example
使用XMLHttpRequest从中访问数据gmail.com
。爱丽丝有一个GMail帐户,因此响应中的收件箱中包含最近发送的电子邮件列表。相同的来源策略会阻止malicIoUs.example
读取它。