根据我对 CORS 的了解,它是这样工作的:我有一个站点 foo.com,它提供一个页面 X。X 想将数据发布到另一个域 bar.com。如果 bar.com 启用了 CORS(其 header 生成 Access-Control-Allow-Origin foo.com),那么页面 X 现在可以将数据发送到 bar.com。
据我了解,要让 CORS 正常工作,一切都与在 bar.com 上进行设置有关,与 foo.com 无关。这一切都是为了确保 bar.com 不接受来自任何旧域的请求。
但是这真的对我来说没有意义。我认为 CORS 旨在使 foo.com 能够决定允许 X 与谁通信。如果我们回到前面的示例,但这次 X 被狡猾的脚本破坏,因此它 secret 地将数据发送到 evil.com,CORS 将如何阻止它? evil.com 启用了 CORS,并设置为 *,因此它将接受来自任何地方的请求。这样一来,用户认为他们使用的是网站 foo.com,却无意中将数据发送到 evil.com。
如果真的是关于 bar.com 保护自己,那么它为什么要让浏览器执行该策略?。如果你有 evil.com 提供页面 Y 来模拟 foo.com,并试图将数据发送到 bar.com,那么这是唯一可以想象的情况。但是 CORS 是由浏览器强制执行的,你所要做的就是让 evil.com 成为一个代理,向 bar.com 发送伪造的来源请求(数据从 Y 到 evil.com,evil.com 将其伪造的来源设置为 foo .com 然后将其发送到 bar.com)。
只有反过来才有意义。 foo.com 启用了 CORS,其 header 设置为 Access-Control-Allow-Origin bar.com。这样浏览器就会拒绝访问 evil.com。然后,浏览器执行该策略是有意义的,因为它运行的脚本可能会出错。它不会阻止 rouge 网站试图将 rouge 数据发送到 bar.com,但 bar.com 可以使用用户名/密码来保护自己。如果 foo.com 的端点期望从 X 返回数据,那么您可以将 token 嵌入到 X 中,以确保 evil.com 不会向它发送数据。
我觉得我没有理解这里最重要的事情。非常感谢您的帮助。
最佳答案
However this really doesn't make sense to me. I thought CORS was designed to enable foo.com to dictate who X is allowed to communicate with.
不,这是关于 bar.com 控制对其内容的使用。
But CORS is enforced by the browser, all you'd have to do is make evil.com a proxy that sends faked origin requests to bar.com...
是的。如果您这样做,并且 bar.com 的人员注意到并关心,他们将拒绝来自您的服务器的请求。你移动它,他们不允许新的。打地鼠时间。但是,尽管这种打地鼠游戏很痛苦,但与请求直接来自 foo.com 的每个用户(从他们的桌面)相比,痛苦要小得多。
让 foo.com 强制执行 foo.com 可以做的事情没有任何意义。 foo.com 已经强制执行 foo.com 可以做的事情,因为 foo.com 为 foo.com 的内容和脚本提供服务。
关于javascript - 对跨源资源共享 (CORS) 的工作方式感到困惑,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27583161/
我在从html页面生成PDF时遇到问题。我正在使用PDFkit。在安装它的过程中,我注意到我需要wkhtmltopdf。所以我也安装了它。我做了PDFkit的文档所说的一切......现在我在尝试加载PDF时遇到了这个错误。这里是错误:commandfailed:"/usr/local/bin/wkhtmltopdf""--margin-right""0.75in""--page-size""Letter""--margin-top""0.75in""--margin-bottom""0.75in""--encoding""UTF-8""--margin-left""0.75in""-
我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t
我试图获取一个长度在1到10之间的字符串,并输出将字符串分解为大小为1、2或3的连续子字符串的所有可能方式。例如:输入:123456将整数分割成单个字符,然后继续查找组合。该代码将返回以下所有数组。[1,2,3,4,5,6][12,3,4,5,6][1,23,4,5,6][1,2,34,5,6][1,2,3,45,6][1,2,3,4,56][12,34,5,6][12,3,45,6][12,3,4,56][1,23,45,6][1,2,34,56][1,23,4,56][12,34,56][123,4,5,6][1,234,5,6][1,2,345,6][1,2,3,456][123
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
我花了三天的时间用头撞墙,试图弄清楚为什么简单的“rake”不能通过我的规范文件。如果您遇到这种情况:任何文件夹路径中都不要有空格!。严重地。事实上,从现在开始,您命名的任何内容都没有空格。这是我的控制台输出:(在/Users/*****/Desktop/LearningRuby/learn_ruby)$rake/Users/*******/Desktop/LearningRuby/learn_ruby/00_hello/hello_spec.rb:116:in`require':cannotloadsuchfile--hello(LoadError) 最佳
我正在编写一个gem,我必须在其中fork两个启动两个webrick服务器的进程。我想通过基类的类方法启动这个服务器,因为应该只有这两个服务器在运行,而不是多个。在运行时,我想调用这两个服务器上的一些方法来更改变量。我的问题是,我无法通过基类的类方法访问fork的实例变量。此外,我不能在我的基类中使用线程,因为在幕后我正在使用另一个不是线程安全的库。所以我必须将每个服务器派生到它自己的进程。我用类变量试过了,比如@@server。但是当我试图通过基类访问这个变量时,它是nil。我读到在Ruby中不可能在分支之间共享类变量,对吗?那么,还有其他解决办法吗?我考虑过使用单例,但我不确定这是
关闭。这个问题需要detailsorclarity.它目前不接受答案。想改进这个问题吗?通过editingthispost添加细节并澄清问题.关闭8年前。Improvethisquestion在首页我有:汽车:VolvoSaabMercedesAudistatic_pages_spec.rb中的测试代码:it"shouldhavetherightselect"dovisithome_pathit{shouldhave_select('cars',:options=>['volvo','saab','mercedes','audi'])}end响应是rspec./spec/request
在Rails4.0.2中,我使用s3_direct_upload和aws-sdkgems直接为s3存储桶上传文件。在开发环境中它工作正常,但在生产环境中它会抛出如下错误,ActionView::Template::Error(noimplicitconversionofnilintoString)在View中,create_cv_url,:id=>"s3_uploader",:key=>"cv_uploads/{unique_id}/${filename}",:key_starts_with=>"cv_uploads/",:callback_param=>"cv[direct_uplo
question的一些答案关于redirect_to让我想到了其他一些问题。基本上,我正在使用Rails2.1编写博客应用程序。我一直在尝试自己完成大部分工作(因为我对Rails有所了解),但在需要时会引用Internet上的教程和引用资料。我设法让一个简单的博客正常运行,然后我尝试添加评论。靠我自己,我设法让它进入了可以从script/console添加评论的阶段,但我无法让表单正常工作。我遵循的其中一个教程建议在帖子Controller中创建一个“评论”操作,以添加评论。我的问题是:这是“标准”方式吗?我的另一个问题的答案之一似乎暗示应该有一个CommentsController参
使用Ruby1.9.2运行IDE提示说需要gemruby-debug-base19x并提供安装它。但是,在尝试安装它时会显示消息Failedtoinstallgems.Followinggemswerenotinstalled:C:/ProgramFiles(x86)/JetBrains/RubyMine3.2.4/rb/gems/ruby-debug-base19x-0.11.30.pre2.gem:Errorinstallingruby-debug-base19x-0.11.30.pre2.gem:The'linecache19'nativegemrequiresinstall
