Al posto di JSONP, perché non possiamo ignorare la stessa politica di origine in modo esplicito?

0

Ho imparato a conoscere la stessa politica sulle origini. Se si desidera accedere al contenuto JSON pubblico, è necessario utilizzare una soluzione alternativa, come CORS, reverse-proxy e JSONP.

Se in ECMAscript c'era un modo per uno script di chiedere esplicitamente al browser di inviare una richiesta non autenticata , gli script potevano accedere al contenuto pubblico mentre i browser non dovevano preoccuparsi che i cookie vengano utilizzati in modo improprio.

Le cose sono raramente così semplici, e sono sicuro che c'è una ragione per cui tale funzionalità non esiste. Non conosco abbastanza bene l'argomento per pensarci, però.

    
posta leewz 06.08.2016 - 11:01
fonte

1 risposta

1

... ask the browser to send an unauthenticated request

Il browser non sa come viene eseguita l'autenticazione dal server. Può essere fatto con i cookie di sessione, i certificati client, l'indirizzo IP di origine dei client o semplicemente perché il client è in grado di raggiungere il server.

Ad esempio hai spesso una società Wiki o bug tracker all'interno della intranet aziendale, cioè non direttamente raggiungibile dall'esterno. Se un utente malintenzionato sarebbe in grado di creare un XMLHTTPRequest "non autorizzato" (cioè senza cookie) a queste risorse interne da una pagina esterna (ad esempio utilizzando una pubblicità mirata), l'utente malintenzionato potrebbe estrarre importanti informazioni interne dalla società.

    
risposta data 07.08.2016 - 08:02
fonte

Leggi altre domande sui tag