2014年1月16日,W3C的Web應(yīng)用工作組(Web Applications Working Group)和Web應(yīng)用安全工作組(Web AppSec)聯(lián)合發(fā)布了跨源資源共享(Cross-Origin Resource Sharing)的W3C正式推薦標(biāo)準(zhǔn)(W3C Recommendation)。該標(biāo)準(zhǔn)定義了在必須訪問跨域資源時(shí),瀏覽器與服務(wù)端應(yīng)該如何溝通,它提供一種機(jī)制,允許客戶端(如瀏覽器)對(duì)非源站點(diǎn)的資源發(fā)出訪問請(qǐng)求。所有提供跨源資源請(qǐng)求的API都可以使用本規(guī)范中定義的算法。
出于安全性的考慮,用戶代理(如瀏覽器)通常拒絕跨站的訪問請(qǐng)求,但這會(huì)限制運(yùn)行在用戶代理的Web應(yīng)用通過Ajax或者其他機(jī)制從另一個(gè)站點(diǎn)訪問資源、獲取數(shù)據(jù)??缭促Y源共享(CORS)擴(kuò)充了這個(gè)模型,通過使用自定義的HTTP響應(yīng)頭部(HTTP Response Header),通知瀏覽器資源可能被哪些跨源站點(diǎn)以何種HTTP方法獲得。例如,瀏覽器在訪問 http://example.com 站點(diǎn)的Web應(yīng)用時(shí),Web應(yīng)用如果需要跨站訪問另一站點(diǎn)的資源 http://hello-world.example,就需要使用該標(biāo)準(zhǔn)。http://hello-world.example 在HTTP的響應(yīng)頭部中定義 Access-Control-Allow-Origin: http://example.org,通知瀏覽器允許 http://example.org 跨源從 http://hello-world.example上獲取資源。
CORS 圖解
延伸閱讀
- ssh框架 2016-09-30
- 阿里移動(dòng)安全 [無線安全]玩轉(zhuǎn)無線電——不安全的藍(lán)牙鎖 2017-07-26
- 消息隊(duì)列NetMQ 原理分析4-Socket、Session、Option和Pipe 2024-03-26
- Selective Search for Object Recognition 論文筆記【圖片目標(biāo)分割】 2017-07-26
- 詞向量-LRWE模型-更好地識(shí)別反義詞同義詞 2017-07-26
- 從棧不平衡問題 理解 calling convention 2017-07-26
- php imagemagick 處理 圖片剪切、壓縮、合并、插入文本、背景色透明 2017-07-26
- Swift實(shí)現(xiàn)JSON轉(zhuǎn)Model - HandyJSON使用講解 2017-07-26
- 阿里移動(dòng)安全 Android端惡意鎖屏勒索應(yīng)用分析 2017-07-26
- 集合結(jié)合數(shù)據(jù)結(jié)構(gòu)來看看(二) 2017-07-26