same-origin-policy相关内容

未捕获http://localhost:8080&;quot;异常:在页面中列出IFRAME时,阻止具有源DOMException的框架访问跨域框架

我正在尝试列出页面中所有iframe的名称,以便可以通过Selenium访问它们。 问题是iframe的名称每次都会更改,因此我需要遍历所有这些名称。 我收到: 未捕获DOMException:阻止源为“http://localhost:8080”的帧访问跨源帧。 尝试使用以下命令循环它们时出错: for (var f = 0; f ..
发布时间:2022-02-20 19:56:34 前端开发

SecurityError:阻止具有源的框架访问跨域框架

我正在我的 HTML 页面中加载 并尝试使用 Javascript 访问其中的元素,但是当我尝试执行我的代码时,我收到以下错误: SecurityError: Blocked a frame with origin "http://www..com" 访问跨域框架. 您能帮我找到一个解决方案,以便我可以访问框架中的元素吗? 我正在使用此代码进行测试,但徒 ..
发布时间:2022-01-29 22:40:41 前端开发

XMLHttpRequest 和 Phonegap ... 是否同源策略?

我还是 Phonegap 的新手,而且我已经使用 Android SDK 工作了几天.至少我想做一个 XMLHttpRequest 从我的服务器获取数据.我之前知道同源策略,我问自己,这应该如何与“本机应用程序"一起使用. 我在互联网上搜索了一些主题,人们告诉其他人,Phonegap 没有同源策略,因为它使用 file:// 协议,另外还有一个域在它的 config.xml 中加入白名单. ..
发布时间:2022-01-15 21:58:57 其他开发

如何在angularjs中解决CORS即同源策略

我正在使用 angularjs 开发一个移动应用程序,我必须在其中调用 Web 服务.但是,当我使用 $http.get 进行调用时,会出现以下错误. XMLHttpRequest 无法加载 http://example.com/First_Step.json.请求的资源上不存在“Access-Control-Allow-Origin"标头.因此不允许访问源“http://127.0.0.1:8 ..
发布时间:2022-01-15 21:51:56 其他开发

Access-Control-Allow-Origin 和 CORS 背后的概念是什么?

我并没有真正了解 Access-Control-Allow-Origin 和 CORS. 如果我允许来自任何域的请求到我的页面,这是否意味着我的页面存在任何安全问题? 我一直认为,SOP 确保不能在页面上运行任何脚本,该脚本从另一台服务器请求数据,因为该数据可能是恶意的.但是,服务于恶意数据的服务器可以只回复包含 Access-Control-Allow-Origin:* 的标头,因此可以 ..
发布时间:2022-01-15 21:50:53 前端开发

为什么禁止没有凭据的 CORS?

我试图理解为什么不允许没有凭据的跨域请求(默认情况下,没有设置服务器来返回 Access-Control-Allow-Origin 标头).当请求具有凭据时,一切都非常简单 - 如果您已登录,则可以代表您在其他网站上执行一些恶意操作,例如在 Facebook 上. 例如请求 xhr = new XMLHttpRequest();xhr.open('GET', 'http://www.goo ..
发布时间:2022-01-15 21:45:14 前端开发

同源策略 - AJAX &使用公共 API

如果我的用户在我自己的网页上,我知道:http://www.example.com/form.php 然后我从该页面发出 ajax 请求:http://example.com/responder.php 由于同源策略(子域不同),它将失败. 我想了解的是,当请求和服务器明显不同时,AJAX 请求如何从 flickr 等 API 中提取数据. 编辑: eg:为什么这段代 ..
发布时间:2022-01-15 21:23:48 前端开发

正确的 CORS 设置是否可以防止 CSRF 攻击?

如果在服务器上正确设置了 CORS,只允许特定来源访问服务器, 这足以防止 CSRF 攻击吗? 解决方案 更具体地说,很容易误以为如果 evil.com 由于 CORS 无法向 good.com 发出请求,那么 CSRF 就是阻止了.然而,有两个问题被忽略了: CORS 仅受浏览器支持.这意味着谷歌浏览器将遵守 CORS,并且不会让 evil.com 向 good.com 提出 ..
发布时间:2022-01-15 19:52:02 其他开发

访问控制允许来源:“*"当凭证标志为真时不允许,但没有 Access-Control-Allow-Credentials 标头

突然间,似乎没有更改我的网络应用程序中的任何内容,我在 Chrome 中打开它时开始收到 CORS 错误.我尝试添加 Access-Control-Allow-Origin: * 标头.然后我得到这个错误: XMLHttpRequest 无法加载 http://localhost:9091/sockjs-node/info?t= 1449187563637.当凭证标志为真时,不能在“Acce ..
发布时间:2022-01-15 19:36:39 其他开发

为什么 CORS 中没有针对具有标准内容类型的 POST 请求的预检

我对 CORS POST 请求的安全方面有点困惑.我知道网上丢失了有关此主题的信息,但我找不到我的问题的明确答案. 如果我理解正确的话,同源策略的目标是防止 CSRF 攻击,而 CORS 的目标是在(且仅当)服务器同意与托管在其他服务器上的应用程序共享其数据时启用资源共享网站(来源). HTTP 指定 POST 请求不是“安全的",即它们可能会改变服务器的状态,例如通过添加新评论.当使 ..
发布时间:2022-01-15 19:33:17 其他开发

CORS 试图解决的问题是什么?

我一直在阅读 CORS 及其工作原理,但我发现很多事情令人困惑.例如,有很多关于诸如 之类的细节 用户 Joe 正在使用浏览器 BrowserX 从 site.com 获取数据,进而向 spot.com 发送请求.为了实现这一点,spot 具有特殊标题... yada yada yada 没有太多背景,我不明白为什么网站不会让来自某些地方的请求.我的意思是,它们的存在是为了响应请求,不是 ..
发布时间:2022-01-15 19:28:59 其他开发

如何使用访问控制允许来源?它只是在html头标签之间吗?

我一直在阅读有关 Access-Control-Allow-Origin 的内容,因为它似乎可以有效地允许跨域请求,因为我可以访问外部站点.我的问题是如何使用 Access-Control-Allow-Origin 来允许跨域请求.我试过这个(别笑)(顺便说一句,我想要一个数字,返回 1 或 0) 访问控制允许来源:*1 我接近了吗?谢 ..
发布时间:2022-01-15 19:20:15 前端开发

如何克服“Access-Control-Allow-Origin"客户端与服务器对话时出错

所以我正在使用来自 swiip 的一个名为 generator-gulp-angular 的 yeoman 项目 - 只需执行“npm search gulp-angular",您就会看到它. 开箱即用的客户端从 127.0.0.1:3000 运行,我希望对 127.0.0.1:8080 上的 (python) 服务进行 $http 调用.它使用浏览器同步进行实时重新加载和代理中间件来进行从 ..
发布时间:2022-01-12 13:52:53 其他开发

为什么同源策略不足以防止 CSRF 攻击?

首先,我假设有一个控制输入以防止 XSS 漏洞的后端. 在this answer中,@Les Hazlewood 解释了如何在客户端保护 JWT. 假设所有通信都使用 100% TLS - 无论是在期间还是任何时候登录后 - 通过基本用户名/密码进行身份验证身份验证和接收 JWT 作为交换是一个有效的用例.这几乎就是 OAuth 2 的流程之一(“密码授予")作品.[...] 您 ..
发布时间:2022-01-10 08:44:24 其他开发

我可以在任何浏览器上禁用 SOP(同源策略)进行开发吗?

我想在我的 Windows 机器上开发 JavaScript.你知道我可以关闭同源策略以便我可以在本地开发的浏览器吗?Firefox 将是最佳选择. 或者,如果您知道我可以用于 SOAP/WSDL 站点的代理,那就太好了. 我正在尝试使用 JavaSCRipt SOAP 客户端. 解决方案 UPDATE 6/2012:这在撰写本文时曾经有效,但显然不再适用.对不起. 在 ..
发布时间:2021-12-24 09:41:35 前端开发