同源政策和提取请求

Mariko Kosaka

在此 Codelab 中,您将了解同源在提取资源时的工作原理。

演示版托管在 https://same-origin-policy-fetch.glitch.me 上。 这个简单的网页使用 fetchhttps://same-origin-policy-fetch.glitch.me/fetch.html 加载资源。由于 index.htmlfetch.html 同源,因此您应该会在实时预览中看到 200

请尝试将提取网址更改为 https://www.google.com。 您在实时预览中看到了什么?

浏览器应阻止了提取请求,因为您请求了资源 来自另一个来源。这意味着攻击者无法读取跨源数据 即使他们控制了用户的浏览器,也无济于事。

2. 获取跨源资源

请尝试将提取网址更改为 https://api.thecatapi.com/v1/images/search。 您在实时预览中看到了什么?

提取网址是不同的来源,但您应该看到状态代码 200。变化原因 现代 Web 应用经常请求跨源资源加载 第三方脚本或查询 API 端点。为了适应这些使用情形 有一种称为 CORS(跨域资源共享)的机制 允许加载跨源资源。如需详细了解 CORS,请参阅安全地共享跨源资源