我正在阅读有关resource timing API的帖子,我无法理解以下限制背后的原因:
从第三方获取的资源必须提供额外的HTTP 标题(Timing-Allow-Origin:*)允许网站收集详细信息 网络定时数据。如果标头不存在,则唯一可用的数据 是请求的总持续时间。
虽然我可以很容易地理解在没有Access-Control-Allow-Origin标题的情况下阻止请求的原因,但我很难理解为什么我不应该在没有Timing-Allow-Origin标题的情况下获得有关时间的信息。
答案 0 :(得分:5)
阅读W3C document about resource timing API后,我发现他们在privacy & security section
中对此进行了解释统计指纹识别是恶意网站的隐私问题 站点可以确定用户是否访问过第三方网站 通过测量缓存命中和未命中资源的时间 第三方网站。虽然是PerformanceResourceTiming接口 给出文档中资源的定时信息,即跨文本 限制可以防止这种隐私问题比现在更糟糕 今天使用资源上的load事件来测量时序来确定 缓存命中和未命中。
基本上,他们希望防止恶意用户检查用户之前是否访问过某个页面。