了解AJAX CORS和安全注意事项

我试图了解为什么CORS会以其有效的方式工作。


当我从了解到这个职位,当从网页www.a.com使得AJAX请求www.b.com,那么它的www.b.com是决定是否请求应该被允许。


但是在这样的模型中,什么是对客户确切的保护呢?例如,如果黑客成功将XSS脚本注入到我的页面,那么它将向其域发出AJAX请求以存储用户数据。因此,黑客的域肯定会允许这样的请求。


我认为www.a.com应该决定允许请求访问的域。因此,从理论上讲,我想在标头Access-Control-Allow-Origin中放入AJAX CORS请求允许的域的整个列表。


有人可以解释一下当前CORS实现所处理的安全问题吗?


牛魔王的故事
浏览 316回答 2
2回答
打开App,查看更多内容
随时随地看视频慕课网APP

相关分类

JavaScript