所以我希望制作一些跨域AJAX请求,并希望检查一些事情。
Access-Control-Allow-Origin
标头。除了允许每个站点发出请求之外,将此设置为*
?答案 0 :(得分:0)
是否有可能让CORS在IE上运行< 8?
不幸的是没有。微软的XDomainRequest直到IE8才到达。
除了允许每个站点发出请求之外,将Access-Control-Allow-Origin设置为*是否存在安全风险?
严格说不,但这本身就存在一系列潜在的安全问题。除非您需要所有来源,否则首选配置白名单。
从客户端安全角度来看,通过DEFAULT,CORS请求不会向我发出AJAX请求的服务器发送cookie。但是,这是可能的。这个陈述是否正确?
是的,没错。如果要包含cookie,则必须配置XHR的withCredentials
属性。
其他信息: