我试着理解HTTP基本语句,因为它并没有像我预期的那样工作。
例如,我将Access-Control-Allow-Origin设置为http://www.example.com,并且我尝试从发送POST请求http://www.example2.com正如我所预料的那样,这是一个错误。
上面写着...request has been blocked by CORS policy。但我很奇怪,当我看到这个请求实际上是在http://www.example.com并调用POST操作。
那么问题是,我们为什么需要protection?
当一个网页被加载到浏览器中时,它的HTML、CSS、Javascript被加载,它的会话被使用。许多潜在问题中的一些:
-
iframe内的远程页面可能是您登录的页面(如您的个人电子邮件帐户的网页),蜘蛛可能会悄悄窃取重要数据(如您电子邮件的内容,包括访问机密区域,如银行帐户相关数据、个人、私人数据等) -
机密CSS/Javascript可能会从受信任的用户那里被盗。示例:您用Javascript和CSS创建了一些非常好的代码,只有付费用户才能使用它们的优势。然而,有人会向你发送一个链接,指向一个页面,该页面以iframe的形式静默加载你的网站,并从中提取CSS和Javascript的好处。然后小偷会以折扣价出售你的产品,你可以开发新产品并制定更好的安全政策。
-
你的帐户可能被黑客入侵。一个你有活动会话的页面可能会被加载到
iframe中,然后蜘蛛可能会在那里造成严重破坏,包括但不限于更改你的用户名/密码,并将你从自己的帐户中排除。 -
恶意的事情可能会以你的名义针对他人。