现代浏览器轻松支持CORS。如果将CORS-aided cross-origin-XHR发送到CORS-ignorant网站,则XHR毫无疑问会成功。
在这方面是否会暴露更多漏洞?如何在今天的浏览器上严格执行Same Origin Policy?
答案 0 :(得分:1)
了解预检请求在CORS中的工作原理。 CORS预检请求首先询问服务器是否可以进行跨源请求,从而保护服务器免受未经授权的请求。如果服务器显示“是”,则浏览器继续请求。否则请求失败。
请注意,某些类型的请求不需要预检请求。但是,即使在CORS之前,这些请求也已经存在。例如,简单的GET请求不需要预检,但已经可以使用script标记进行GET。
您可以在此处了解有关CORS和预检的更多信息:http://www.html5rocks.com/en/tutorials/cors/