CORS辅助跨域-XHR

Question

现代浏览器可以很方便地支持CORS。如果将CORS-aided cross-origin-XHR发送到CORS-ignorant站点，则XHR毫无疑问会成功。

它在这方面暴露了更多的漏洞吗？如何在当今的浏览器上严格执行Same Origin Policy？

Answer 1

看看在CORS中印前检查请求是如何工作的。CORS印前检查请求通过首先询问服务器是否可以进行跨域请求来保护服务器免受未经授权的请求。如果服务器说“是”，浏览器将继续请求。否则请求将失败。

请注意，某些类型的请求不需要印前检查请求。然而，这些请求甚至在CORS之前就已经成为可能。例如，一个简单的GET请求不需要印前检查，但是已经可以使用script标记进行GET了。

你可以在这里了解更多关于CORS和印前检查的信息：http://www.html5rocks.com/en/tutorials/cors/