关于CORS和AJAX的几个问题

时间:2014-06-17 11:34:52

标签: javascript ajax cors

所以我希望制作一些跨域AJAX请求,并希望检查一些事情。

  • 是否可以让CORS在IE上工作< 8?
  • 我需要确保在我发出AJAX请求的服务器的响应中设置了Access-Control-Allow-Origin标头。除了允许每个站点发出请求之外,将此设置为*
  • 是否存在安全风险
  • 从客户端安全角度来看,通过DEFAULT ,CORS请求不会向我发出AJAX请求的服务器发送cookie(例如会话数据)。但是,有可能发送cookie数据等......这个陈述是否正确?

1 个答案:

答案 0 :(得分:0)

  

是否有可能让CORS在IE上运行< 8?

不幸的是没有。微软的XDomainRequest直到IE8才到达。

  

除了允许每个站点发出请求之外,将Access-Control-Allow-Origin设置为*是否存在安全风险?

严格说不,但这本身就存在一系列潜在的安全问题。除非您需要所有来源,否则首选配置白名单。

  

从客户端安全角度来看,通过DEFAULT,CORS请求不会向我发出AJAX请求的服务器发送cookie。但是,这是可能的。这个陈述是否正确?

是的,没错。如果要包含cookie,则必须配置XHR的withCredentials属性。

其他信息: