Questions tagged «cross-domain»

在阅读了CORS（跨源资源共享）后，我不了解它如何提高安全性。如果发送了正确的ORIGIN标头，则允许跨域AJAX通信。例如，如果我发送 来源：http：//example.com 服务器检查此域是否在白名单中，以及是否在标头中： 访问控制允许来源：[此处接收的网址] 与响应一起发送回去（这是简单的情况，也有预先要求的请求，但问题是相同的）。 这真的安全吗？如果有人想接收该信息，则伪造ORIGIN标头似乎是一件微不足道的任务。该标准还说该策略在浏览器中执行，如果Access-Control-Allow-Origin不正确，则会阻止响应。显然，如果有人试图获取该信息，他将不会使用标准的浏览器来阻止它。

81 javascript  ajax  cross-domain  cors 

根据带有凭据的请求，Firefox仅在以下情况下发送凭据以及跨域帖子： invocation.withCredentials = "true"; 设置了…但是看来jQuery的Ajax API似乎没有为此提供任何机制。 有什么我想念的吗？我还有其他方法可以做到吗？

80 javascript  jquery  cross-domain 

我正在开发JSON / REST Web API，为此，我特别希望第三方网站能够通过AJAX调用我的服务。因此，我的服务正在发送著名的CORS标头： Access-Control-Allow-Origin: * 允许第三方站点通过AJAX调用我的服务。到目前为止一切都很好。 但是，我的Web api的一个子部分是非公开的，需要身份验证（带有OAuth和access_token cookie的相当标准的东西）。在我网站的此部分也启用CORS是否安全？ 一方面，如果第三方网站可以具有也与我的服务的这一部分进行交互的ajax客户端，那将很酷。但是，首先要有一个相同的原产地政策的原因是这样做可能有风险。您不希望以后访问的任何网站都能够访问您的私人内容。 我担心的情况是，用户在网站或他信任的网站上登录我的Web api，却忘记了注销。这会允许他随后访问的所有其他网站使用现有会话访问其私人内容吗？ 所以我的问题是： 在非公开内容上启用CORS是否安全？ 如果启用了CORS的服务器通过cookie设置了session_token，该cookie是否保存在CORS服务器或主网页服务器的域下？

77 ajax  web-services  security  cross-domain  cors 

XMLHttpRequest cannot load http://mywebservice. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:9000' is therefore not allowed access. 当我尝试从代码内部运行Web服务时，出现此错误。我尝试找到有关它，并尝试了许多在网上找到的建议解决方案。粘贴下面的代码。 <form name="LoginForm" ng-controller="LoginCtrl" ng-submit="init(username,password,country)"> <label>Country</label><input type="text" ng-model="country"/><br/><br/> <label>UserName</label><input type="text" ng-model="username" /></br></br> <label>Password</label><input type="password" ng-model="password"> </br> <button type="submit" >Login</button> </form> 与控制器对应的js形式为： app.controller('LoginController', ['$http', '$scope', function ($scope, $http) { $scope.login = …

69 angularjs  ajax  cors  cross-domain 

我开发了一套宁静的Web服务。由于出现错误，我无法从远程客户端调用任何这些方法 No 'Access-Control-Allow-Origin' header is present on the requested resource. 该服务可以在localhost上完美运行。在服务器端是否有任何更改或配置要做以解决问题。即启用跨域请求。 我正在使用WildFly 8，JavaEE 7

69 cors  jax-rs  cross-domain  java-ee-7  wildfly-8 

我们有一个网站（www.example.com），该网站将用户带到一系列第三方页面以验证付款详细信息，这在iframe中进行。最初，来自www.example.com的本地页面被加载到iframe中，并且用户被重定向到第三方URL。用户完成第三方步骤后，会将它们重定向302到iframe中我们网站（www.example.com）上的页面。 此功能适用于我们测试过的所有浏览器，但IE 11似乎已丢失，但IE 11除外。我们已经在Windows 7和8.1的台式机和“ Metro”模式下检查了此问题，并且所有版本均存在此问题。 当用户浏览我们的网站时，我们会设置一个会话cookie，该会话cookie会正确发送到最初加载到iframe中的第一方页面。但是，一旦用户浏览了该iframe中的某些第三方页面，会话cookie就不会与下一个请求一起发送。 如果我们将IE 11的隐私设置设为最低值，则此问题将消失，并且一切正常。 到目前为止，我发现的所有潜在解决方案都与P3P标头相关。我们已经建立了有效且正确的P3P标头和XML策略文件，并且此问题仅在IE 11中出现。 更新：我们还有其他一些使用JS设置的cookie。这些都按预期持续存在。不同之处在于有效期（对于JS cookie来说是1年，对于会话cookie来说是1个月），域（对于JS cookie来说是“ example.com”，对于会话cookie来说是空）以及它们是否是“仅HTTP”（对于JS是false） cookie，适用于会话cookie）。 我已经尝试根据会话cookie的JS cookie设置所有这些选项，但是没有区别。 更新2：经过更多测试后，我无法创建一个重现此问题的测试用例。我尝试在实时代码中测试的任何其他cookie都似乎已损坏，即使它们设置的代码与可以正常工作的JS cookie完全相同。简而言之; 我还没有找到有效和无效的Cookie模式。 需要注意的一件事可能是，cookie并没有被删除，只是没有被发送到最终请求。如果加载了另一个页面，则cookie会神奇地重新出现并发送；这使我相信这是围绕iframe和P3P的错误。 更新3（第3天）： IE 11对cookie的处理继续让我感到困惑。我越深入迷宫，迷失在不断变化的墙壁中的人就越多。而且这里有鬼。半梦半醒的安全政策的片段编织成某种空灵的生物，每走一步都会跟踪并嘲弄我。刚开始时，我以一种难以捉摸的形式被冻僵，恐惧，震惊，只是在视线之外飞了起来，但是每过一个小时，我就从其邻近性的知识中获得更多的安慰。这可能是我被派到这里面对的那只野兽吗？在这样的时候我怎么能杀死我唯一的同伴？

69 security  internet-explorer  iframe  cookies  cross-domain