CORS???



所謂跨站HTTP請求(Cross-site HTTP request)是指發出請求所在網域不同於請求所指向之網域的HTTP請求,例如網域A(http://domaina.example)的網頁載入一個<img>元素向網域B(http://domainb.foo)請求影像資源(http://domainb.foo/image.jpg)。這種作法在現今各網頁相當常見,網頁常常會載入其他網站資源,像是CSS樣式表、影像、程式碼等等資源。






基於安全性考量,程式碼所發出的跨站HTTP請求受到相當限制,好比說用XMLHttpRequest物件所發出的請求受限於同源政策(same-origin policy),只能發送HTTP請求到和其所來自的相同的網域,不過開發者也希望能發展出安全的跨站請求方法來開發更好、更安全、搭配多種資源的網頁應用。






恩... 上面都是節錄自MDN的HTTP access control (CORS) 這篇






W3C下轄的網頁應用工作小組(Web Applications Working Group)建議採用跨來源資源共享(Cross-Origin Resource Sharing, CORS)來達成安全的跨站資料傳輸。CORS提供網頁伺服器支援跨站存取控制方法,另外,這份規範是用於API容器,例如以XMLHttpRequest作為調解機制,好跳脫同網域限制;也因為客戶端瀏覽器會多出新的跨來源共享元件,包括標頭和政策施定,所以說,伺服器也必須相應地處理這些新增機制,也就是處理新標頭以及用新標頭發送資源。本文內容主要和網站管理員、伺服器端開發者和網站開發者有關,然後關於伺服器部分請參閱伺跨來源共享:從服器觀點出發(以PHP為範例)補充文章。






跨來源資源共享標準可用來開啟以下跨站HTTP請求:
用XMLHttpRequest API進行跨站請求,如前所述。
網頁字體(跨網域CSS的@font-face的字體用途),所以伺服器可以部屬TrueType字體並只允許授權網站進行跨站載入使用
WebGL紋理
用drawImage畫到畫布上的影像

留言

張貼留言

這個網誌中的熱門文章

postman有跨網域神力啊

今天幫賈賈查個東西 要怎麼把curl 的action轉成js或者jquery的ajax code 恩.... 看起來是完全可行的(畢竟我是個菜鳥 但我從六點多開始試到凌晨一點多都是失敗的....不論各種debug, 自己開web api比對resource, response 後來利用了"postman cross domain" 以及 "curl cross domain" 查到了 Regular web pages can use the XMLHttpRequest object to send and receive data from remote servers, but they're limited by the same origin policy. Extensions aren't so limited. An extension can talk to remote servers outside of its origin, as long as it first requests cross-origin permissions. Ajax calls can only be made to URLs within the same domain. 然後有一篇神文說“你可以用jquery ajax 做到cross domain",他的方法是利用jquery ajax傳給一個php頁面,再讓php用curl的方式把remote data吐回來,好複雜啊這~ 文章的最後,到底為什麼postman可以cross domain而我就不行呢? https://developer.chrome.com/extensions/xhr google developer的文章中有寫道 (非拿不可的話,似乎可以用JSONP或者CORS來解
閱讀完整內容

angular ui-router 變更網址列的方式! (偷渡關於移除URL中的#

在angular提供的ng-router或者third-party的ui-router中,在裡面這樣那樣的切換頁面過程中,瀏覽器的網址都會變更,但其實如果直接輸入那個網址,卻會 404 !! 應該是因為 angular在切換頁面的過程中,不希望刷新頁面,所以使用了類似partial view的概念,對需要更新的部分用http request去把需要的content拉出來,並且將網址列的內容更改為本身router的state對應到的url !! /*偷渡一段在這邊 angular默認會使用一個#符號來對url進行route 例如 http://tony.com http://tony.com/#/home http://tony.com/#/setting 如果不想要出現這個#的話 要用$locationProvider,並且設置相對連接的起點路徑 在app.config中加入 $locationProvider.html5Mode(true); 在index的head裡面加入 <base href="/"> */ 而這邊要提到的就是將網址列的內容改為本身router的state對應到的url,這是如何做到的呢~~ 這是使用了html5的history api來達成,可以透過window物件->history物件瀏覽瀏覽器的歷史,並且有提供一些方法讓你可以在歷史紀錄中前進以及後退要在歷史紀錄中往後移動,可以: window.history.back(); 同樣的,你也可以往前移動window.history.forward(); 你可以用 go() 方法來從頁面的 session 歷史記錄中載入特定紀錄, 以目前頁面的相對位置而定(目前的頁面想當然爾是 index 0) 往前一頁(等同於呼叫 back()):window.history.go(-1); 往後一頁(等同於呼叫 forward()):window.history.go(1); 你可以查看 length 這個屬性來取得目前瀏覽歷史的總數 : var numberOfEntries = window.history.length; 加入和修改歷史紀錄 HTML5 加入
閱讀完整內容

google smtp好麻煩啊~

1 .將「安全性較低的應用程式存取權限」設為「啟用」 找到 Google 帳戶內找到「安全性較低的應用程式存取權限」的設定 或是直接開啟此網頁 https://www.google.com/settings/security/lesssecureapps 登入後設為「啟用」。 2.解除人機驗證鎖定 直接開啟此網頁 https://accounts.google.com/b/0/DisplayUnlockCaptcha 點下「繼續」。 3.啟用兩步驟驗證,再設定應用程式專用密碼 直接開啟此網頁 https://accounts.google.com/b/0/SmsAuthConfig?hl=zh_TW ,啟用兩步驟驗證。 不過要注意的是,以後在尚未信任的裝置上用email跟密碼登入 Google 帳號,會變成無法使用,一定還要再次透過電話或簡訊驗證,才能登入帳戶。 開啟此網頁 https://security.google.com/settings/security/apppasswords?pli=1 ,讓它產生一組應用程式專用密碼,然後把寄件程式內的 google 密碼換成這組應用程式密碼。 注意哦!這組應用程式專用密碼只能登入一個地方,如果把這組密碼先拿來當smtp寄信,又再拿去登入其他東西,後來那個是無法登入的。
閱讀完整內容