为什么我需要为一个MP3文件设置Access-Control-Allow-Origin为*,以便它可以被其他域的网站加载?这有什么安全隐患?
或者只是为了防止其他人显示您未授权他们的内容(假设浏览器支持CORS)?
答案 0 :(得分:0)
大多数视频播放器都使用script标记中的JS进行初始化,视频通过XMLHttpRequest获取。
根据docs:
出于安全原因,浏览器会限制从脚本中发起的跨源HTTP请求。例如,XMLHttpRequest和Fetch API遵循同源策略。这意味着使用这些API的Web应用程序只能从加载应用程序的同一域中请求HTTP资源,除非使用CORS标头。
因此,为了安全起见并防止数据泄露,需要使用CORS标头。