不要打cors

讓我們談談CORS - 每個人最喜歡的（或最不喜歡的）網絡安全功能。我最近一直在為它搏鬥，這是我寫博客文章的提示！

CORS的核心概念很簡單：防止跨原始代碼執行。如果css-tricks.com嘗試從any-other-website.com獲取JavaScript，則瀏覽器默認情況下將其阻止。控制台錯誤？是的，“不允許。”

例外？ Target網站向標題明確授予許可。您的域被列入白色，或者通配符可以訪問。有細微差別（前面的憑證，憑證等），但是MDN文檔很好地涵蓋了這些文檔。

我對COR的頭痛最大的頭痛源於其看似不一致的行為。兩個請求成功了，第三個失敗 - 可重複但令人困惑。 （也許是帶有半個頭標頭的負載平衡器？誰知道！）或代理突然停止工作。我已經失去了我討論CORS問題的次數，很容易超過100。

最近的CORS遇到：

• 一個流行的“在6分鐘內學習CORS”視頻（10,000個贊！）突出了一個常見的解決方案： npm install cors 。
• 您必須使用正確的標頭配置服務器。我在CloudFlare工人的視頻中進行了證明（儘管Cloudflare工人提供了一個很酷的跨圍產基旁路）。
• 傑克·阿奇博爾德（Jake Archibald）的出色“如何在科爾斯（Cors）獲勝”文章，並帶有遊樂場。
• 存在瀏覽器擴展名（Firefox，Chrome）以注入CORS標題 - 可疑的解決方法，但可以理解。
• 我以前關於輕鬆代理任何內容（包括第三方JavaScript）的文章將其製作第一方。評論正確地指出了這種繞過CORS保護 - 除非您完全控制第三方資源，否則這是有風險的。

以上是不要打cors的詳細內容。更多資訊請關注PHP中文網其他相關文章！