same-origin-policy相关内容

将jQuery .load()工作在PhoneGap?

我知道 jQuery .load()函数有一个“问题”:您可以' t检索超出当前域的网页,因为同源政策,但我记得当我开发另一个程序,我可以做跨域AJAX没有问题,而在PhoneGap编译环境,但它会工作,而PhoneGap(像正常的AJAX)或它只会失败,因为政策? 解决方案 您可以使用 .load()或 $。 ()。我的大部分经验是从同一个域下的应用程序获取信息。是包装。例如: 应 ..
发布时间:2017-01-07 18:48:50 其它移动开发

只是丢弃跨域XHR的Cookie不是更简单吗?

在为网络开发时,我会继续与奇怪的限制作斗争。其中之一是AJAX请求的同源限制,我问自己如果,而不是阻止请求跨域资源不会更简单,只是丢弃cookie时,它们(避免滥用认证证书的浏览器会话)。 Cookie是一种工具,但并不是必需的(例如,如果您需要保留上下文,则可以在请求网址中生成包含Cookie的网页)跨域阻止是很讨厌的绕过。 从逻辑上看,在阻塞特定主题访问资源时,还有一些奇怪的事情 ..
发布时间:2017-01-06 14:44:40 前端开发

为什么同源策略不足以防止CSRF攻击?

首先,我假设一个控制输入以防止XSS漏洞的后端。 在 假设100%的客户端是JWT的客户端, TLS用于所有通信 - 在登录之前和在任何时候 - 用用户名/密码通过基本的 认证进行认证并接收JWT作为交换是有效的用例。 这几乎是OAuth 2的流程('password grant') 的工作原理。 [...] 您只需设置Authorization标题: Auth ..
发布时间:2017-01-06 13:11:01 跨浏览器开发

Canvas.toDataURL()在除IE10之外的所有浏览器中工作

我正在开发一个项目,它使用画布自动裁剪图像,然后返回其数据网址。它使用来自外部服务器的图像,该服务器具有适当的CORS头部,以允许在裁剪图像之后将图像转换为数据URI,即使它们是跨源的。 代码在除了IE 10之外的所有浏览器中工作得很好(没有安全错误!),当调用canvas.toDataURL()时,它会抛出“SCRIPT5022:SecurityError”。 这是一个错误在IE或东 ..
发布时间:2016-11-13 00:01:01 其他开发

我可以违反同源策略与Java小程序

我需要请求的东西,从其他域的信息。我知道JavaScript不能做到这一点,由于同源策略。我的另一种选择是,通过我的服务器进行代理请求。我不想请求从我的服务器的IP来也不想为我的服务器上创建额外负载,将preFER客户做到这一点。 是否有可能使用Java applet来做到这一点?手动配置安全设置是不是一个问题。 解决方案 Java小应用程序国家执行同源策略,几乎相同的方式为Flash。 ..
发布时间:2016-05-26 21:53:57 Java开发

噶单元测试跨域资源AngularJS

我用因果报应我的角度项目的测试运行框架,我的角有服务器服务需要访问其他网页URL获得像 HTTP数据://本地主机:8081 /普通/国家获得有关国家的所有信息。 我的问题是在我的本地主机人缘启动:9876 ,它需要从 HTTP GET数据://本地主机:8081 /普通/国家通过浏览同源策略这项事业跨域问题。 所以我得到下面的错误在我的控制台: 错误:意外的请求:GET HTTP://本地 ..
发布时间:2016-05-10 19:43:59 前端开发

为什么同一产地的政策踢在做从本地主机请求到localhost什么时候?

我保持后端API从前端HTML5应用程序消耗它一个单独的项目。我使用的约曼为前端开发。约曼运行在localhost:3501和localhost上的后端:3000。当我做API请求从浏览器(使用AngularJS的$ HTTP),我打的同源策略: XMLHtt prequest无法加载的http://本地主机:3000 /场所。原产地的http://本地主机:3501不被访问控制允许来源允许的 ..
发布时间:2016-04-07 00:11:17 JavaScript

如何解决CORS即angularjs同源策略

我开发的angularjs,我必须作出调用Web服务的移动应用程序。但是,当我正在与 $ http.get 电话这是给下面的错误。 XMLHtt prequest无法加载http://example.com/First_Step.json。无“访问控制允许来源”标头的请求的资源present。因此出身“http://127.0.0.1:8020'是不允许访问。 我给这家功能如下: $ sc ..
发布时间:2016-04-06 23:23:41 JavaScript

从本地的HTML文件的WebView Javascript的跨域

我加载(从资产的文件夹)的本地HTML文件的应用程序的WebView。 在HTML我运行一个jQuery.getJSON(URL)。 URL是一个远程服务器。 这个动作失败了,我猜是因为不同的起源问题(跨域)。我运行在Chrome相同的文件有它专门是这么说的。 有没有办法,允许在Android上的WebView加载在本地加载的HTML文件从远程服务器上的数据? 解决方案 今天早上,我发现解 ..
发布时间:2015-12-02 17:55:08 移动开发

做一个跨域请求XML从本地文件

我不知道这甚至有可能。基本上我想加载客户端PC上的本地的HTML文件,并把它发出请求到远程服务器。由服务器提供的数据是XML。 当我说我加载一个文件,我的意思是出现在铬的URL为“文件:/// E:/ ...” 这是最接近我已经读懂了能够加载XML。我检查了网络选项卡上的客户端和它的成功加载,我只是不能似乎得到XML转换成我可以检查一个元素: VAR脚本= document.createE ..
发布时间:2015-11-30 01:25:16 前端开发

如何为从Web服务pre-飞行的请求

我有一个Web服务,它的工作原理在 GET 。要访问该Web服务,一些自定义标题需要传递。 当我尝试从javascript code与 GET 方法来访问Web服务,请求方法是越来越改为选项。 (域是不同的) 我读了一些文章,找出与自定义头的要求将是pre-flighted,并在实际的方法调用之前的情况下,OPTIONS方法的请求将到服务器。 但我的问题是选项通话,真正的方法(即 GET ) ..
发布时间:2015-11-30 01:22:24 前端开发

在同一个域访问控制 - 允许 - 原产地问题

,当我试图从一个JavaScript文件位于完全相同的域中的Web服务,使一个XMLHTT prequest,我得到它是如何可能的: 产地 http://mydomain.com 不受访问控制 - 允许 - 产地??? 如果我改变mydomain.com为localhost,我不再有问题,但我想保持它为mydomain.com 我有什么修改,为什么摆在首位,因为它是同一个域? 解决方案 ..
发布时间:2015-11-30 00:22:35 服务器开发

对于客户端的安全性,并CORS做任何事情比颠覆同一原产地政策等?

(如果没有,它实际上提高客户端的安全性?) 我想从哪儿服务器X的脚本使用XHR获取和运行服务器Y(支持CORS)。不可信code的情况下 (显然不可信评估code是不好™) 解决方案 我不使用CORS来提高安全性可言。我用CORS访问一个已知的web服务在不同的领域,我不会允许没有CORS访问。无关,与加强安全在我看来,但允许code从一个域信任另一个数据 ..
发布时间:2015-11-30 00:13:49 前端开发

同源策略,使用Javascript / jQuery的AJAX和检索一个RSS XML提要

我碰到一个问题,使用jQuery来获取RSS订阅源位于外部域。这是工作在Safari,但其他浏览器会错误的,因为同源策略的限制(也记载有关$阿贾克斯()函数)。 想知道我是怎么定的呢? 解决方案 有三种方法可以绕过同源策略: 在代理 - 草莓Sheurbert那样,完全有效的,但浪费带宽和计算能力 JSONP - 通过脚本加载数据标记。需要从源代码的网站合作,基本的hackish而笨拙。 ..
发布时间:2015-11-30 00:02:55 前端开发