HTTP 沙箱
在网页脚本中发出 HTTP 请求,再次引发了安全性的担忧。 控制脚本的人的兴趣可能不同于正在运行的计算机的所有者。 更具体地说,如果我访问themafia.org
,我不希望其脚本能够使用来自我的浏览器的身份向mybank.com
发出请求,并且下令将我所有的钱转移到某个随机帐户。
出于这个原因,浏览器通过禁止脚本向其他域(如themafia.org
和mybank.com
等名称)发送 HTTP 请求来保护我们。
在构建希望因合法原因访问多个域的系统时,这可能是一个恼人的问题。 幸运的是,服务器可以在响应中包含这样的协议头,来明确地向浏览器表明,请求可以来自另一个域:
Access-Control-Allow-Origin: *