same-origin-policy相关内容
tl;博士;关于同源政策 我有一个启动 express.js 服务器实例的 Grunt 进程.直到现在它开始提供一个空白页面时,它一直工作得非常好,Chrome(最新版本)的开发人员控制台的错误日志中出现以下内容: XMLHttpRequest 无法加载 https://www.example.com/请求中不存在“Access-Control-Allow-Origin"标头资源.Or
..
Mod note:这个问题是关于为什么 XMLHttpRequest/fetch/etc.在浏览器上受相同访问策略限制(您会收到提及 CORB 或 CORS 的错误),而 Postman 则不受此限制.这个问题不是关于如何解决“没有'访问控制-允许-来源'..."的问题.错误.这是关于它们发生的原因. 请停止发帖: 阳光下每种语言/框架的 CORS 配置.而是找到您的相关语言/框架问题
..
同源政策 我想制作一个关于 HTML/JS 同源策略的社区维基,希望能帮助任何搜索此主题的人.这是 SO 上搜索次数最多的主题之一,并且没有统一的 wiki,所以我在这里 :) 同源策略防止从一个加载的文档或脚本起源于获取或设置来自另一个文档的属性起源.这项政策一直沿用至今回到 Netscape Navigator 2.0. 您最喜欢绕过同源策略的一些方法是什么? 请保持示
..
我在不同的域上托管一个 WebApp 和他的 API,并使用 CORS 来解决同一个源策略.到现在为止还挺好.这有效. 为了每个会话只发送一次 CORS 预检,我设置了Access-Control-Max-Age 到 20 天,但这不起作用(在 Chrome 中测试):https://db.tt/vfIW3fD2 我需要改变什么? 解决方案 如果您使用的是 Chrome Dev
..
我一直在阅读有关 Access-Control-Allow-Origin 的文章,因为它在允许跨域请求方面似乎很有效,因为我可以访问外部站点.我的问题是如何使用 Access-Control-Allow-Origin 来允许跨域请求.我试过了(别笑)(顺便说一下,我想要的是单个数字,返回 1 或 0) 访问控制允许来源:*1
..
我需要请求事物并从其他域获取信息.我知道由于同源策略,javascript 无法做到这一点.我的另一个选择是通过我的服务器发出代理请求.我不希望请求来自我的服务器的 IP,也不希望为我的服务器创建额外的负载,并且希望客户端这样做. 是否可以使用 Java 小程序来执行此操作?手动配置安全设置不是问题. 解决方案 Java 小程序确实实现了同源策略,与 Flash 的方式非常相似.如果
..
我收到一个错误(XMLHttpRequest 无法加载 https://www.cloudflare.com/api_json.html?tkn=&email=&z=&a=rec_load_all&callback=%3F.来源尝试通过 jQuery 将 JSONP 请求发送到云耀斑.CloudFlare API 声明您可以通过附加请求 JSONP 回调&callback=mycallback 参
..
我将后端 API 作为独立于使用它的前端 HTML5 应用程序的项目.我正在使用 Yeoman 进行前端开发.Yeoman 在 localhost:3501 上运行,后端在 localhost:3000 上运行.当我从浏览器发出 API 请求时(使用 AngularJS 的 $http),我遇到了同源策略: XMLHttpRequest 无法加载 http://localhost:3000/ve
..
我正在 angularjs 中开发一个移动应用程序,我必须在其中调用 Web 服务.但是,当我使用 $http.get 进行调用时,它给出了以下错误. XMLHttpRequest 无法加载 http://example.com/First_Step.json.请求的资源上不存在“Access-Control-Allow-Origin"标头.因此不允许访问源“http://127.0.0.1:8
..
我正在 angularjs 中开发一个移动应用程序,我必须在其中调用 Web 服务.但是,当我使用 $http.get 进行调用时,它给出了以下错误. XMLHttpRequest 无法加载 http://example.com/First_Step.json.请求的资源上不存在“Access-Control-Allow-Origin"标头.因此不允许访问源“http://127.0.0.1:8
..
我将后端 API 作为独立于使用它的前端 HTML5 应用程序的项目.我正在使用 Yeoman 进行前端开发.Yeoman 在 localhost:3501 上运行,后端在 localhost:3000 上运行.当我从浏览器发出 API 请求时(使用 AngularJS 的 $http),我遇到了同源策略: XMLHttpRequest 无法加载 http://localhost:3000/ve
..
我正在使用 Spring Boot 和 Angular 7 创建一个示例应用程序.在 Spring Boot 中,我将 http 转换为 https.在 Angular 应用程序中,客户端发布功能无法调用服务器 Api 发布方法. 它抛出以下错误 在 'https://localhost:8082/Demo/list' 从源访问 XMLHttpRequest'http://localh
..
我想从 http://www.somedomain.com 到 https://www.somedomain.com 不用麻烦地设置测试,有人可以确认这是否会被视为同源吗? 我的假设是这没问题,因为在这种情况下 cookie 已成功共享. 解决方案 不行,url 需要相同的域和相同的协议,请参阅 http://en.wikipedia.org/wiki/Same_origin_
..
两部分问题... 基本上,在一天结束时,我想要一个 file 并让用户从他们的文件系统中选择一个图片文件.然后我想将它显示在 img 标签中的页面上.我稍后需要处理它,所以我知道data: 不是要走的路,这似乎会留下blob:,我可以't 用我的 googlefu 弄清楚它是否是 X-origin. 那么 blob: 是否被视为 X 起源?如果我有一个 的 @src 作为
..
需要访问另一台服务器中的 JSON 文件的移动应用程序.并且其显示的跨源策略被阻止.那么有没有办法绕过或访问该文件? 解决方案 正如已经回答的那样,您需要一个简单的 php 代理脚本. 通过这种方式,您的服务器获取 json 文件,您只需从客户端访问您的服务器..这样 javascript 只处理同一个域.
..
有没有办法让 BaseX 的 HTTP 服务器为存储在数据库中作为原始资源或文件系统的 HTML 文档提供文本/html 内容类型,以便它可以在浏览器中显示? > 该文档是一个向 BaseX 发出 XHR 请求的网页.目前,我通过文件协议将其加载到浏览器上.这需要让 Jetty 使用 CORS 标头进行响应,否则同源策略会阻止 XHR 请求. 然而,这是一种维护负担.BaseX 的每次更
..
我有一个网页,里面有一些 javascript,它将作为 iframe 嵌入到不同的网站中.我需要根据运行它的网站调整我的页面的行为.为此,我尝试从我的页面读取 top.location.href,但这引发了错误: 不安全的 JavaScript 尝试使用 URL http://website.url 访问框架来自 URL http://mypage.url 的框架.域、协议和端口必须匹配.
..
我在基于 Arm 的平台上移植了 QtWebkit.我们能够运行 QtTestBrowser.我想在上面的浏览器中禁用“同源策略". 如果有任何机构对此有想法,请告诉我. 解决方案 默认情况下,Qt 不公开禁用/白名单同源策略的方法.扩展相同的 (qwebsecurityorigin.cpp) 并能够让它工作.
..
我熟悉持久性和非持久性XSS.我还知道同源策略,它可以防止/限制来自一个网站页面的请求转到另一个网站服务器.这让我觉得同源策略至少可以阻止非持久性类型的 XSS 攻击(因为在持久性类型的攻击中,恶意代码来源与窃取的私人信息相同).我的理解正确吗?可以使用 SOP 来阻止/减少这些攻击吗? 编辑:好的,我在浏览器端的 2 个脚本之间调用方法和在另一个网站上调用诸如 HTTP POST 之类的方
..
我有一个关于托管在域(例如:CDN 的域,例如 example.com)上但从不同域(例如 example.net)下的网站加载的 JavaScript 的潜在安全问题/限制的问题. 现在想象一下,加载的 JavaScript 只会读取/修改具有特定 id 的 div 中的文本,所以没有什么“复杂"的.一个例子:我从 http://example.com/myscript.js 加载了脚本,
..