这是一个创建于 990 天前的主题,其中的信息可能已经有所发展或是发生改变。
前提
假设我的服务端地址为: http://api.a.com, 客户端地址为: http://www.a.com
问题
-
如果服务端不设置任何 CORS 配置,那么可以通过 postman 或者其他 api 请求工具可以正常请求?不会出现跨域问题?
-
如果服务端设置 CORS 配置 Access-Control-Allow-Origin: www.a.com, 那么还可以通过 postman 或者其他 api 请求工具可以正常请求吗?
 | 1 ksc010 2023-01-31 09:54:45 +08:00 postman 跟你设置 CORS 没有任何关系 CORS 是用来提示浏览器的(若浏览器自己不遵守,这个限制也没有用) |
 | 2 renmu 2023-01-31 09:59:15 +08:00 via Android 可以,跨域是浏览器的限制 |
 | 3 dzdh 2023-01-31 10:04:18 +08:00 - CORS 只限制浏览器环境( chrome/edge/firefox/...) - 对方允许跨域( response header) - 当前域允许跨域( content-security-policy) - 动态 script 标签引用跨域 js ( src=xxx.php?.js )不算 [请求跨域] ,算资源跨域,一般不需要对方服务器许可(当然对方可以根据 referer 来进行限制),同时受 content-security-policy 限制 - 编程发起的请求(js/python/curl/php/java/go...)不受任何限制( cors 、content-security-policy),哪怕对方服务器的安全防护你也可以进行绕过 总结。学会区分,浏览器中的请求,和其他请求的区别。 |
 | 4 huijiewei 2023-01-31 10:07:21 +08:00 跨域是浏览器安全限制 |
 | 5 feeeff OP |
 | 7 webmrxu 2023-01-31 10:42:55 +08:00 浏览器搞一个限制跨域问题,本来就很鸡肋。http 是没有跨域概念的,所以只要不用浏览器发起的 http 请求,是没有跨域限制的。 |
 | 10 IvanLi127 2023-01-31 10:57:42 +08:00 via Android @feeeff 如果你是攻击者的话,你用代理去请求,你已经是换其他攻击方式了。和跨越限制没关系了。 |
| 11 feeeff OP 谢谢热心的兄弟们 |
Select Language