我试图理解HTTP基本语句,因为这不符合我的预期。
E.g。我已将Access-Control-Allow-Origin设为http://www.example.com,我尝试从http://www.example2.com发送POST请求,但错误与我预期的一样。
它说...request has been blocked by CORS policy。
但我很惊讶看到实际上该请求是在http://www.example.com上完成的,并且调用了POST操作。
那么问题,为什么我们需要protection?
答案 0 :(得分:0)
当网页加载到浏览器中时,会加载其HTML,CSS,Javascript,正在使用其会话。一些潜在的问题:
iframe内的远程页面可能是您登录的页面(如您的个人电子邮件帐户的网页),蜘蛛可能会默默地窃取重要数据(例如电子邮件的内容) ,包括访问机密区域,如银行账户相关数据,个人,私人数据等。)
机密CSS / Javascript可能会从受信任的用户中被盗。示例:您在Javascript和CSS中创建了一些非常好的代码,只有付费用户才能使用他们的好处。但是,有人会向您发送一个链接,该链接指向一个页面,该页面以iframe静默加载您的网站,并从那里提取CSS和Javascript好东西。然后窃贼将以折扣价出售您的产品,您可以使用新产品和更好的安全政策。
您的帐户可能遭到黑客入侵。您可以在iframe内加载有活动会话的页面,然后蜘蛛可能会在那里造成严重破坏,包括但不限于更改您的用户名/密码并将您从自己的帐户中排除。
可以以你的名义对其他人采取恶意行为。