正如我从这篇文章中学到的,当从
www.a.com发出AJAX请求到时www.b.com,是由www.b.com决定是否应允许该请求。
不完全的。该请求未被阻止。
默认情况下,运行的Javascript
www.a.com禁止访问的响应
www.b.com。
CORS允许
www.b.com授予Javascript
www.a.com访问权限。
但是,在这种模式下,什么可以在客户端上完全保证呢?
它使作者的访问者
www.a.com无法
www.b.com使用访问了两个站点并通过身份验证
www.b.com(因此可以访问非公开数据)的用户的浏览器读取数据。
例如,爱丽丝已登录Google。爱丽丝访问
malicious.example使用XMLHttpRequest从中访问数据
gmail.com。爱丽丝有一个GMail帐户,因此响应中的收件箱中包含最近发送的电子邮件列表。相同的来源策略会阻止
malicious.example读取它。
例如,黑客成功将XSS脚本注入到我的页面,然后向其域发出AJAX请求以存储用户数据。因此,黑客域将肯定允许此类请求。
正确。XSS是另一个安全问题,需要从源头(即在
www.a.com浏览器中而不是浏览器中)解决。
