same-origin-policy相关内容

规避同源策略的方法

同源政策 我想制作一个关于 HTML/JS 同源策略的社区维基,希望能帮助任何搜索此主题的人.这是 SO 上搜索次数最多的主题之一,并且没有统一的 wiki,所以我在这里 :) 同源策略防止从一个加载的文档或脚本起源于获取或设置来自另一个文档的属性起源.这项政策一直沿用至今回到 Netscape Navigator 2.0. 您最喜欢绕过同源策略的一些方法是什么? 请保持示 ..
发布时间:2021-11-26 22:21:34 前端开发

CORS Access-Control-Max-Age 被忽略

我在不同的域上托管一个 WebApp 和他的 API,并使用 CORS 来解决同一个源策略.到现在为止还挺好.这有效. 为了每个会话只发送一次 CORS 预检,我设置了Access-Control-Max-Age 到 20 天,但这不起作用(在 Chrome 中测试):https://db.tt/vfIW3fD2 我需要改变什么? 解决方案 如果您使用的是 Chrome Dev ..
发布时间:2021-11-26 18:42:45 其他开发

如何使用 Access-Control-Allow-Origin?它只是在 html head 标签之间吗?

我一直在阅读有关 Access-Control-Allow-Origin 的文章,因为它在允许跨域请求方面似乎很有效,因为我可以访问外部站点.我的问题是如何使用 Access-Control-Allow-Origin 来允许跨域请求.我试过了(别笑)(顺便说一下,我想要的是单个数字,返回 1 或 0) 访问控制允许来源:*1 ..
发布时间:2021-11-26 18:39:03 前端开发

我可以使用 Java 小程序违反同源策略吗

我需要请求事物并从其他域获取信息.我知道由于同源策略,javascript 无法做到这一点.我的另一个选择是通过我的服务器发出代理请求.我不希望请求来自我的服务器的 IP,也不希望为我的服务器创建额外的负载,并且希望客户端这样做. 是否可以使用 Java 小程序来执行此操作?手动配置安全设置不是问题. 解决方案 Java 小程序确实实现了同源策略,与 Flash 的方式非常相似.如果 ..
发布时间:2021-11-16 22:28:54 其他开发

当浏览器存在同源策略时,REST API 如何与 JavaScript 一起工作?

我正在使用 Flickr 的 REST API,它运行良好.我的意思是,我正在对 Flickr API 进行 AJAX 调用并返回一个 JSON 对象,解析该对象等. 但这在我的脑海中提出了一个问题.如果浏览器遵循同源政策,那么他们如何制作这些类型的API请求? 这个 DEMO fiddle 正在工作,但它发送了一个 跨域请求到 Flickr 域. 这个跨域请求是如何工作的? ..
发布时间:2021-11-15 01:51:57 其他开发

为什么在从本地主机向本地主机发出请求时启动同源策略?

我将后端 API 作为独立于使用它的前端 HTML5 应用程序的项目.我正在使用 Yeoman 进行前端开发.Yeoman 在 localhost:3501 上运行,后端在 localhost:3000 上运行.当我从浏览器发出 API 请求时(使用 AngularJS 的 $http),我遇到了同源策略: XMLHttpRequest 无法加载 http://localhost:3000/ve ..
发布时间:2021-11-15 00:39:17 其他开发

如何在 angularjs 中解决 CORS 即同源策略

我正在 angularjs 中开发一个移动应用程序,我必须在其中调用 Web 服务.但是,当我使用 $http.get 进行调用时,它给出了以下错误. XMLHttpRequest 无法加载 http://example.com/First_Step.json.请求的资源上不存在“Access-Control-Allow-Origin"标头.因此不允许访问源“http://127.0.0.1:8 ..
发布时间:2021-11-09 22:20:22 其他开发

如何在 angularjs 中解决 CORS 即同源策略

我正在 angularjs 中开发一个移动应用程序,我必须在其中调用 Web 服务.但是,当我使用 $http.get 进行调用时,它给出了以下错误. XMLHttpRequest 无法加载 http://example.com/First_Step.json.请求的资源上不存在“Access-Control-Allow-Origin"标头.因此不允许访问源“http://127.0.0.1:8 ..
发布时间:2021-11-09 04:34:17 其他开发

为什么在从本地主机向本地主机发出请求时启动同源策略?

我将后端 API 作为独立于使用它的前端 HTML5 应用程序的项目.我正在使用 Yeoman 进行前端开发.Yeoman 在 localhost:3501 上运行,后端在 localhost:3000 上运行.当我从浏览器发出 API 请求时(使用 AngularJS 的 $http),我遇到了同源策略: XMLHttpRequest 无法加载 http://localhost:3000/ve ..
发布时间:2021-11-09 03:31:33 其他开发

Access-Control-Allow-Credentials 的意义何在?

发送 cookie 的默认值是 SameSite=Lax,这意味着 cookie 是为 GET 请求发送的,但在 POST 时被阻止. 对于跨源 GET 请求,响应会因 Same-Origin-Policy 而被阻止,除非响应包含 Access-Control-Allow-Origin. 为什么 Access-Control-Allow-Origin 还不够? 您为什么要返回 A ..
发布时间:2021-07-14 19:49:32 其他开发

具有相同域的同源策略,但 https

我想从 http://www.somedomain.com 到 https://www.somedomain.com 不用麻烦地设置测试,有人可以确认这是否会被视为同源吗? 我的假设是这没问题,因为在这种情况下 cookie 已成功共享. 解决方案 不行,url 需要相同的域和相同的协议,请参阅 http://en.wikipedia.org/wiki/Same_origin_ ..
发布时间:2021-07-14 19:49:28 其他开发

将文件输入作为 img 插入到 DOM 中

两部分问题... 基本上,在一天结束时,我想要一个 file 并让用户从他们的文件系统中选择一个图片文件.然后我想将它显示在 img 标签中的页面上.我稍后需要处理它,所以我知道data: 不是要走的路,这似乎会留下blob:,我可以't 用我的 googlefu 弄清楚它是否是 X-origin. 那么 blob: 是否被视为 X 起源?如果我有一个 的 @src 作为 ..
发布时间:2021-07-14 19:49:25 其他开发

如何绕过跨源策略

需要访问另一台服务器中的 JSON 文件的移动应用程序.并且其显示的跨源策略被阻止.那么有没有办法绕过或访问该文件? 解决方案 正如已经回答的那样,您需要一个简单的 php 代理脚本. 通过这种方式,您的服务器获取 json 文件,您只需从客户端访问您的服务器..这样 javascript 只处理同一个域. ..
发布时间:2021-07-14 19:49:22 其他开发

有没有办法让 BaseX 为 HTML 文档提供服务?

有没有办法让 BaseX 的 HTTP 服务器为存储在数据库中作为原始资源或文件系统的 HTML 文档提供文本/html 内容类型,以便它可以在浏览器中显示? > 该文档是一个向 BaseX 发出 XHR 请求的网页.目前,我通过文件协议将其加载到浏览器上.这需要让 Jetty 使用 CORS 标头进行响应,否则同源策略会阻止 XHR 请求. 然而,这是一种维护负担.BaseX 的每次更 ..
发布时间:2021-07-14 19:49:19 其他开发

从不同域中的框架/iframe 获取顶部窗口 url

我有一个网页,里面有一些 javascript,它将作为 iframe 嵌入到不同的网站中.我需要根据运行它的网站调整我的页面的行为.为此,我尝试从我的页面读取 top.location.href,但这引发了错误: 不安全的 JavaScript 尝试使用 URL http://website.url 访问框架来自 URL http://mypage.url 的框架.域、协议和端口必须匹配. ..
发布时间:2021-07-14 19:49:16 其他开发

QtWebkit 同源策略

我在基于 Arm 的平台上移植了 QtWebkit.我们能够运行 QtTestBrowser.我想在上面的浏览器中禁用“同源策略". 如果有任何机构对此有想法,请告诉我. 解决方案 默认情况下,Qt 不公开禁用/白名单同源策略的方法.扩展相同的 (qwebsecurityorigin.cpp) 并能够让它工作. ..
发布时间:2021-07-14 19:49:13 其他开发

跨站脚本攻击和同源策略

我熟悉持久性和非持久性XSS.我还知道同源策略,它可以防止/限制来自一个网站页面的请求转到另一个网站服务器.这让我觉得同源策略至少可以阻止非持久性类型的 XSS 攻击(因为在持久性类型的攻击中,恶意代码来源与窃取的私人信息相同).我的理解正确吗?可以使用 SOP 来阻止/减少这些攻击吗? 编辑:好的,我在浏览器端的 2 个脚本之间调用方法和在另一个网站上调用诸如 HTTP POST 之类的方 ..
发布时间:2021-07-14 19:49:10 其他开发

托管在不同域上的 JavaScript 可以读取/修改另一个域的 DOM 吗?

我有一个关于托管在域(例如:CDN 的域,例如 example.com)上但从不同域(例如 example.net)下的网站加载的 JavaScript 的潜在安全问题/限制的问题. 现在想象一下,加载的 JavaScript 只会读取/修改具有特定 id 的 div 中的文本,所以没有什么“复杂"的.一个例子:我从 http://example.com/myscript.js 加载了脚本, ..
发布时间:2021-07-14 19:49:07 其他开发