也许我的问题有两个部分,小提琴手如何克服CORS并发布请求? 这是我们在服务器上的应用程序允许它的东西吗?
答案 0 :(得分:1)
为了更好地理解Same-Origin-Policy,以及浏览器需要CORS的原因,请参阅此文章:http://blogs.msdn.com/b/ieinternals/archive/2009/08/28/explaining-same-origin-policy-part-1-deny-read.aspx
是的,您可以向服务器的任何来源发送请求:
攻击者的服务器难道不能直接向受害者服务器发出请求吗?
所有这一切的关键点是滥用用户的浏览器来加载来自的内容 受害者服务器将该用户的身份验证(cookie,凭据等)发送给受害者 服务器。攻击者需要将这些凭据发送到受害者服务器才能 获取值得偷窃的内容。
换句话说,如果攻击者可以直接下载受保护的资源 从
yourbank.com而不使用您的浏览器,他绝对会这样做。但他不能, 因为只有您的浏览器拥有yourbank.com所需的cookie和凭据 为了返回受保护的内容。