我试图了解CORS(跨域资源共享),并且Wikipedia和MDN Web Docs似乎无法回答我的一些问题。
Here is also a good article解释了CORS,但我还是不太明白。
让我们有两个Web服务器1- http://example-1.com 2- http://example-2.com。 然后,网络浏览器首先加载example-1.com页面,然后尝试向example-2发出ajax请求以获取一些数据。
第一件事是cors的定义:
跨源资源共享(CORS)是一种允许 (我假设为example-2吗?)在网页上的限制(我认为它们实际上是在Web服务器上不是页面?),需要从另一个域请求(我再次假设为example-1吗?) 在提供第一个资源的域之外。1 页面可以自由嵌入跨域图片,样式表,脚本, iframe和视频。2某些“跨域”请求,尤其是Ajax 默认情况下,同源安全策略会禁止(浏览器禁止?)请求。
问题:
序列图正确吗?
谁负责允许/阻止CORS请求,我向之提出请求的浏览器或服务器(示例2)?
这种限制可以阻止哪种攻击?
为什么在使用POST man时我看不到任何CORS错误?