Was ist das Problem CORS versucht zu lösen?

Ich gelesen habe bis auf CORS und wie es funktioniert, aber ich finde eine Menge Dinge verwirrend. Zum Beispiel, es gibt viele details, über Dinge wie

Benutzer Joe ist die Nutzung von browser BrowserX um Daten aus site.com,
die wiederum sendet eine Anfrage an spot.com. Um dies zu ermöglichen, spot hat
spezielle Header... yada yada yada

Ohne viel hintergrund, ich verstehe nicht, warum Webseiten nicht zulassen würde, dass Anfragen von einigen stellen. Ich meine, Sie existieren, um zu dienen, Antworten auf Anfragen, nicht? Warum würden bestimmte Leute von Anforderungen, die nicht erlaubt sein?

Es würde wirklich zu schätzen eine schöne Erklärung (oder einen link zu einer) das problem, dass CORS gemacht wird, zu lösen.

Also die Frage ist,

Was ist das problem CORS ist die Lösung?

InformationsquelleAutor CodyBugstein | 2014-12-08
  1. 21

    Das Standard-Verhalten von web-Browsern, die das einleiten von Anforderungen von einer Seite via JavaScript (AUCH AJAX) ist, dass Sie Folgen Sie den same-origin-policy. Dies bedeutet, dass die Anfragen können nur per AJAX auf der gleichen domain (oder sub-domain). Anfragen zu einer völlig anderen Domäne schlägt fehl.

    Diese Einschränkung besteht, weil die Anfragen auf andere domains, die von Ihrem browser mitschleppen würde Ihre cookies das bedeutet oft, Sie würden angemeldet sein, um die andere Seite. Also, ohne denselben Ursprung, jede Website konnte host JavaScript aufgerufen logout auf stackoverflow.com zum Beispiel, und es würde Sie Abmelden. Nun Stell dir vor, die Komplikationen, wenn wir reden über soziale Netzwerke, banking, etc.

    So, in allen Browsern einfach einschränken, Skript-basierte Netzwerk ruft zu Ihrer eigenen domain zu machen, einfach und sicher.

    Website X an http://www.x.com nicht machen von AJAX-Anfragen zur Website Y http://www.y.com nur zu *.x.com

    Gibt es einige bekannte Workarounds im Ort (z.B. JSONP, die nicht enthalten cookies in der Anforderung), aber diese sind keine dauerhafte Lösung.

    CORS können diese cross-domain-requests zu passieren, aber nur, wenn jede Seite sich in CORS-Unterstützung.

    • Ah ok, so ist es der browser setzt diese Regeln. Wenn dem so ist, was ist dann mit der Access-Control-Allow-Origin auf dem server? Wie wäre cross-origin-requests auch bekommen, wenn es dem browser erlauben es nicht?
    • siehe CORS link in meiner Antwort. Neuere Browser Unterstützung CORS, wenn die Seiten opt-in zu verwenden (über den header).
    • In MDN Access Cotrol doc, GET-Anforderung mit Anmeldeinformationen sind nicht preflighted. Aber wenn die Antwort-Header nicht enthält Access-Control-Allow-Credentials: true, dann wird die Antwort nicht zur Verfügung stehen, die dem aufrufenden client. Wenn dieses gleiche Verhalten für die POST (Einfache POST-Anfrage mit Anmeldeinformationen - Inhalts-Typ kann die Formular-Daten) Anforderung, besteht die Gefahr, dass die POST möglicherweise ändern Sie die server-Status-obwohl die Antwort möglicherweise nicht zur Verfügung gestellt werden client. Ist diese Annahme richtig? - ODER POST-Anfrage mit Anmeldeinformationen pre-flighted?
    • stackoverflow.com/questions/36613051/...
    InformationsquelleAutor Haney
  2. 15

    First, let ' s talk about der same-origin-policy. Ich zitiere aus eine frühere Antwort von mir:

    Den gleichen Ursprung Richtlinie wurde erfunden, weil es verhindert, dass code aus einer website den Zugriff auf credential-eingeschränkten Inhalt auf einer anderen Website. Ajax-requests werden standardmäßig gesendet mit jedem auth cookies gewährt, die von der Ziel-site.

    Angenommen, ich habe versehentlich laden http://evil.com/, die sendet eine Anforderung für http://mail.google.com/. Wenn die SOP wurden nicht an Ort und Stelle, und ich war angemeldet Gmail, das Skript an evil.com sehen konnte, meine inbox. Wenn die site evil.com laden möchte mail.google.com ohne meine cookies, es kann nur einen proxy-server verwenden; die öffentlichen Inhalte von mail.google.com sind nicht geheim (aber der Inhalt mail.google.com beim Zugriff mit meinem cookies sind ein Geheimnis).

    (Beachten Sie, dass ich gesagt habe "credential-beschränkt", aber es kann auch sein,Topologie-eingeschränkte Inhalte, wenn eine website ist nur sichtbar für bestimmte IP-Adressen).

    Manchmal, aber es ist nicht evil.com versuchen, einen Blick in Ihren Posteingang. Manchmal, es ist nur eine hilfreiche website (sagen wir http://goodsite.foo) versucht, eine öffentliche API von einem anderen Ursprung (sagen wir http://api.example.com). Die Programmierer, die hart gearbeitet, auf api.example.com wollen alle Ursprünge für den Zugriff auf Ihre Website-Inhalte frei. In diesem Fall, den API-server auf api.example.com können CORS-Header zu ermöglichen goodsite.foo (oder jede andere anfordernde Herkunft) für den Zugriff auf die API-Antworten.

    So, in Summe gehen wir davon aus, die als Standard cross-origin-Zugriff ist eine schlechte Sache (man denke an jemanden, der versucht zu Lesen, Ihren Posteingang), aber es gibt Fälle, in denen es eine gute Sache (denken Sie an eine website versucht, Zugriff auf einen öffentlichen API). CORS ermöglicht es der gute Fall zu geschehen, wenn die angeforderte Seite will, dass es geschieht.

    • Also der browser hat immer noch senden eine Art der Anfrage, um alle Seiten zu sehen, wenn Sie CORS Header, richtig? Wenn evil.com hat ein Skript für den Zugriff auf meine bank-Website, wird mein browser sendet eine test-Anfrage oder etwas zu überprüfen, werden diese Header, die zwar nicht anbringen, meine cookies?
    • Ja, die Anfragen erfolgen auf der Netzwerk-Ebene; die Ergebnisse werden einfach nicht angezeigt JavaScript-wenn die CORS-check fehlschlägt. Siehe meine Antwort auf Wie funktioniert der Zugang-Control-Allow-Origin-header zu arbeiten? (leider halten die Verknüpfung zu meinen eigenen Sachen, aber es ist eine Frage, die ich beantwortet habe, ein paar mal vor und verknüpften Antworten werden (hoffe ich) relevanten Fragen)
    InformationsquelleAutor apsillers
  3. 0

    Gibt es Sicherheit und Datenschutz Gründen für nicht so dass Anfragen von überall. Wenn Sie besucht meine website, die Sie würde nicht wollen, dass mein code, um Anfragen zu Facebook, reddit, Ihrer bank, eBay, etc. aus Ihrem browser Ihre cookies, richtig? Meine Seite würde dann in der Lage sein, um Beiträge Lesen Informationen, Bestellungen, etc. in Ihrem Namen. Oder auf meinen Namen mit Ihren Konten.

    InformationsquelleAutor Scott Saunders
Schreibe einen Kommentar