Questions tagged «same-origin-policy»

Web浏览器强制执行的同一原始策略会限制从一个原始源加载的文档中的JavaScript禁止访问另一个原始源的数据。使用CORS协议可以放宽限制。

8
当我的JavaScript代码出现时,为什么Postman不会出现“在请求的资源上没有'Access-Control-Allow-Origin'标头”错误?
注释:这个问题是关于为什么Postman不受XMLHttpRequest一样的CORS限制。此问题不是关于如何解决“无'Access-Control-Allow-Origin'...”错误。 请停止发布: 阳光下每种语言/框架的CORS配置。而是找到您相关的语言/框架的问题。 允许绕过CORS的请求的第三方服务 用于关闭各种浏览器的CORS的命令行选项 我正在尝试通过连接到内置的RESTful API Flask使用JavaScript进行授权。但是,当我发出请求时,出现以下错误: XMLHttpRequest无法加载http:// myApiUrl / login。所请求的资源上没有“ Access-Control-Allow-Origin”标头。因此,不允许访问原始“空”。 我知道API或远程资源必须设置标头,但是当我通过Chrome扩展程序Postman发出请求时,为什么它可以工作? 这是请求代码: $.ajax({ type: "POST", dataType: 'text', url: api, username: 'user', password: 'pass', crossDomain : true, xhrFields: { withCredentials: true } }) .done(function( data ) { console.log("done"); }) .fail( function(xhr, textStatus, errorThrown) { alert(xhr.responseText); alert(textStatus); });

14
jQuery / JavaScript:访问iframe的内容
我想使用jQuery在iframe中操纵HTML。 我认为我可以通过将jQuery函数的上下文设置为iframe的文档来做到这一点,例如: $(function(){ //document ready $('some selector', frames['nameOfMyIframe'].document).doStuff() }); 但是,这似乎不起作用。一点检查就可以看出,除非等待iframe加载,否则其中的变量frames['nameOfMyIframe']是undefined。但是,在iframe加载时,变量不可访问(我收到permission denied-type错误)。 有人知道解决方法吗?

7
SecurityError:阻止了具有原点的框架访问跨域框架
我正在<iframe>HTML页面中加载,并尝试使用Javascript访问其中的元素,但是当我尝试执行代码时,出现以下错误: SecurityError: Blocked a frame with origin "http://www.<domain>.com" from accessing a cross-origin frame. 您能否帮助我找到解决方案,以便我可以访问框架中的元素? 我正在使用此代码进行测试,但徒劳无功: $(document).ready(function() { var iframeWindow = document.getElementById("my-iframe-id").contentWindow; iframeWindow.addEventListener("load", function() { var doc = iframe.contentDocument || iframe.contentWindow.document; var target = doc.getElementById("my-target-id"); target.innerHTML = "Found it!"; }); });

11
规避原产地政策的方法
已锁定。该问题及其答案被锁定,因为该问题是题外话,但具有历史意义。它目前不接受新的答案或互动。 同一原产地政策 我想制作有关HTML / JS 同源策略的社区Wiki,以希望能帮助任何人搜索此主题。这是关于SO的最热门搜索主题之一,并且没有统一的Wiki,所以我在这里:) 相同的来源策略可防止从一个来源加载的文档或脚本从另一个来源获取或设置文档的属性。该策略可追溯到Netscape Navigator 2.0。 您采用哪种最喜欢的方式处理同源政策? 请保持详细示例,并最好也链接您的资源。

3
跨域表单过帐
我已经看过有关该主题的文章和帖子(包括SO),并且普遍的评论是,同源策略阻止跨域的POST形式。我见过有人建议将同源政策不适用于表单帖子的唯一位置是此处。 我想从一个更“官方”或正式的来源获得答案。例如,是否有人知道解决同源性如何影响表单POST的RFC? 澄清:我不是在问是否可以构造GET或POST并将其发送到任何域。我在问: 如果Chrome,IE或Firefox允许域“ Y”中的内容将POST发送到域“ X” 如果接收POST的服务器实际上将看到所有表单值。我之所以这样说,是因为大多数在线讨论记录的测试人员都说服务器收到了该帖子,但是表单值全部为空/已剥离。 哪个正式文档(即RFC)说明了预期的行为(无论浏览器当前已实现了什么)。 顺便说一句,如果同源源不影响表单POST,那么这使得为什么需要使用防伪令牌更加明显。我之所以说“有点”,是因为很难相信攻击者可以简单地发出HTTP GET来检索包含反伪造令牌的表单,然后进行包含相同令牌的非法POST。注释?

8
XMLHttpRequest无法加载XXX No'Access-Control-Allow-Origin'标头
tl; dr; 关于同一原产地政策 我有一个Grunt进程,用于启动express.js服务器实例。直到现在,当它开始为空白页提供服务时,它的工作情况都非常好,在Chrome(最新版本)的开发人员控制台的错误日志中显示以下内容: XMLHttpRequest无法加载https://www.example.com/ 所请求的资源上没有'Access-Control-Allow-Origin'标头。因此,不允许访问源' http:// localhost:4300 '。 是什么阻止了我访问该页面?

7
禁用Firefox相同来源策略
我正在开发一个本地研究工具,该工具需要关闭Firefox的相同来源策略(就脚本访问而言,我并不真正在乎跨域请求)。 更具体地说,我希望宿主域中的脚本能够访问页面中嵌入的任何iframe中的任意元素,而不管它们的域如何。 我知道以前的问答提到了CORS FF扩展,但这不是我所需要的,因为它仅允许CORS,而不能访问脚本。 如果不能轻松完成,那么我也将不胜感激,这些见解将我指向FF src代码的特定部分,我可以对其进行修改以禁用SOP,以便重新编译FF。

13
在Chrome 48+中禁用网络安全
我有一个问题 --disable-web-security标志。Windows无法在Chrome 48和Chrome 49 beta中使用它。 我尝试杀死所有实例,重新启动并首先运行带有标志的Chrome,还尝试了其他机器。在beta版中,我可以看到警告弹出窗口(“您正在使用不受支持的标志。”),但仍在执行CORS。公共版本似乎完全忽略了该标志。 似乎没有任何新闻或人们对此进行报道,因此这可能是本地问题。将非常感谢您的帮助或任何相关信息。

8
如果iframe src无法加载,则捕获错误。错误:-“拒绝在框架中显示“ http://www.google.co.in/”。”
我Knockout.js用来绑定iframe广告src代码(这对于用户而言是可配置的)。 现在,如果用户配置了http://www.google.com(我知道它不会在iframe中加载,这就是为什么我将它用于-ve场景),并且必须在IFrame中显示它。但是会引发错误: 拒绝在框架中显示“ http://www.google.co.in/ ”,因为它将“ X-Frame-Options”设置为“ SAMEORIGIN”。 我为iframe使用以下代码:- <iframe class="iframe" id="iframe" data-bind="attr: {src: externalAppUrl, height: iframeheight}"> <p>Hi, This website does not supports IFrame</p> </iframe> 我想要的是,如果URL无法加载。我想显示自定义消息。 在这里 现在,如果我将onload和onerror用作:- <iframe id="browse" style="width:100%;height:100%" onload="alert('Done')" onerror="alert('Failed')"></iframe> 它可以很好地加载w3schools.com,但不能与google.com一起加载。 其次:-如果我将其作为一个函数并像我在小提琴中所做的那样尝试,则它不起作用。 <iframe id="browse" style="width:100%;height:100%" onload="load" onerror="error"></iframe> 我不知道该如何运行它并捕获错误。 编辑:-如果iframe未加载或在stackoverflow中加载问题,我曾想过要调用一个函数,但是它显示了可在iframe中加载的网站的错误。 另外,我已经研究了加载事件上的Stackoverflow iframe, 谢谢!

2
请求标题中的Origin evil.com
我试图将表单数据发送到Web服务,但是在Chrome DOM的“网络”中的“请求标头”下方,我得到了来源“ evil.com”和引荐来源网址“ localhost:8080”。 Accept:application/json, text/plain, */* Accept-Encoding:gzip, deflate Accept-Language:nb-NO,nb;q=0.8,no;q=0.6,nn;q=0.4,en-US;q=0.2,en;q=0.2 Connection:keep-alive Content-Length:91 Content-Type:application/x-www-form-urlencoded; charset=UTF-8; Host:office.insoft.net:9091 Origin:http://evil.com/ Referer:http://localhost:8080/ User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2230.0 Safari/537.36 我想更改为另一个来源,“ localhost:8080”将是最佳来源。 我该如何解决这个问题?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.