- 跨域资源共享(CORS):浏览器同源策略中的同源指协议+域名+端口三者完全一致,其中任何一个不同即为跨域
1. 浏览器同源策略是隔离潜在恶意文件的安全机制,限制信息传递和使用的边界,不是信息的保密机制。<img><script><link>以及表单提交都可实现跨域请求,但可能会不同程度受同源策略的限制,因浏览器不同而异; 2. 跨域资源共享(CORS)是一个W3C标准,是在客户端和服务端同时遵循的情况下执行的,整个CORS通信过程,都是浏览器自动完成,在编码上与同源资源共享并无不同(CORS交互中使用WithCredentials除外); 3. 如果客户端不支持跨域资源共享(CORS),则信息的传递和使用将可能受同源策略限制,但服务端返回的任然是正常的HTTP响应; 4. IE未将端口号加入到同源策略的组成部分之中,Chrome 和 Firefox不允许从 HTTPS 的域跨域访问 HTTP。
下表给出了相对http://store.company.com/dir/page.html同源检测的示例:
URL 结果 原因 http://store.company.com/dir2/other.html
成功 http://store.company.com/dir/inner/another.html
WEB跨域资源共享:Cross-origin Resource Sharing(CORS)
最新推荐文章于 2024-04-12 10:25:40 发布
本文介绍了浏览器的同源策略以及CORS(跨域资源共享)机制,讲解了CORS的基本原理、分类(简单请求与预检请求)、请求与响应首部、以及附带身份凭证的情况。此外,还提到了JSONP、WebSocket等跨域解决方案。
摘要由CSDN通过智能技术生成