Я пытался понять базовые операторы HTTP, потому что это не работает так, как я ожидал.
Например. Я указал Access-Control-Allow-Origin как http://www.example.com и попытался отправить POST-запросы с http://www.example2.com, и это было с ошибкой, как я и ожидал.
Там написано ...request has been blocked by CORS policy. Но я был удивлен, когда увидел, что на самом деле этот запрос был сделан на http://www.example.com и POST действие было вызвано.
Тогда вопрос, зачем нам этот protection?
Когда веб-страница загружается в браузер, загружается ее HTML, CSS, Javascript, используется ее сессия. Некоторые из многих потенциальных проблем:
Удаленная страница внутри iframe может быть страницей, на которой вы вошли в систему (например, веб-страница вашей личной учетной записи электронной почты), и паук может незаметно украсть важные данные (например, содержимое ваших электронных писем, включая доступ к конфиденциальным областям, таким как банковский счет). связанные данные, личные, личные данные и т. д.)
Конфиденциальные CSS/Javascript могут быть украдены у доверенных пользователей. Пример: вы создаете очень хороший код на Javascript и CSS, и только платные пользователи могут использовать их преимущества. Однако кто-то отправляет вам ссылку, которая указывает на страницу, которая автоматически загружает ваш сайт в виде iframe и извлекает оттуда вкусности CSS и Javascript. Тогда похититель продаст ваш продукт со скидкой, и вы сможете работать над новыми продуктами и над улучшением политики безопасности.
Ваши аккаунты могут быть взломаны. Страница, на которой у вас есть активный сеанс, может быть загружена внутри iframe, а затем паук может нанести там ущерб, включая, помимо прочего, изменение вашего имени пользователя/пароля и исключение вас из вашей собственной учетной записи.
Злонамеренные действия могут быть совершены против других от вашего имени.
