Tag: Cors

chrome中的错误：Content-Type不被Access-Control-Allow-Headers所允许: 尝试发送ajax请求时，Chrome中出现此错误： Content-Type is not allowed by Access-Control-Allow-Headers 一切工作正常在Firefox。任何人都可以帮我解决这个问题？

在Chrome 48和49中禁用networking安全: 我对–disable-web-security标志有问题。它不适用于Windows的Chrome 48和Chrome 49testing版。我尝试过杀死所有的实例，首先重启并运行Chrome，并尝试使用不同的机器。在testing版中，我可以看到警告popup窗口（“您正在使用不受支持的标志..”），但CORS仍在执行中。公共版本似乎完全忽略了国旗。似乎没有关于这个消息或人的报道，所以这可能是一个本地的问题。将不胜感激的帮助或任何相关的信息。

Web套接字使ajax / CORS过时？: 在所有Web浏览器中使用Web套接字是否会使Ajax过时？因为如果我可以使用Web套接字来实时获取数据和更新数据，为什么我需要Ajax？即使我使用ajax只是在应用程序启动时取一次数据，我仍然可能想看看这个数据在一段时间后是否改变了。 networking套接字是可能的跨域或只有相同的起源？

何时安全启用CORS？: 我正在开发一个JSON / REST Web API，我特别希望第三方网站能够通过AJAX调用我的服务。因此，我的服务正在发送着名的CORS标题： Access-Control-Allow-Origin: * 它允许第三方网站通过AJAX调用我的服务。迄今为止都很好。然而，我的networkingapi的一个小部分是非公开的，需要authentication（OAuth和access_token cookie相当标准的东西）。在我的网站的这一部分启用CORS是否安全？一方面，如果第三方网站可能有一个也与我的服务的这部分交互的ajax客户，那将是很酷的。然而，起源相同的原因首先在于这可能是有风险的。您不希望任何后来访问的网站能够访问您的私人内容。我担心的情况是，用户通过网站或通过他信任的网站login我的networkingAPI，他忘记注销。这是否允许每个其他网站，他后来访问他的私人内容使用现有的会议？所以我的问题：在非公开内容上启用CORS是否安全？如果启用了CORS的服务器通过cookie设置session_token，这个cookie是否会保存在CORS服务器或主网页服务器的域下？

“System.Web.Http.GlobalConfiguration”的types初始值设定项引发exception: 我已经添加了一个新的Web API项目。我安装Cors PM> Install-Package Microsoft.AspNet.WebApi.Cors -Pre 然后当我运行我的项目，我得到这个错误： “System.Web.Http.GlobalConfiguration”的types初始值设定项引发exception。这是我内心的例外： {“尝试通过方法'System.Web.Http.GlobalConfiguration..cctor（）'来访问字段'System.Web.Http.GlobalConfiguration.CS $ <> 9__CachedAnonymousMethodDelegate2'失败。”}

在Firefox中禁用跨域networking安全: 在Firefox中，我如何在Chrome中执行相同的–disable-web-security 。这已经发布了很多，但从来没有一个真正的答案。大多数是附加组件的链接（其中一些在最新的Firefox中无法使用，或根本无法使用）以及“只需要在服务器上启用支持”。这是暂时的testing。我知道安全影响。我不能打开服务器上的CORS，我特别是永远不能允许本地主机或类似的。一个标志，或设置，或什么比一个插件会好很多。我也尝试过： http : //www-jo.se/f.pfleger/forcecors ，但是一定是错误的，因为我的请求回来完全是空的，但是在Chrome中同样的请求返回正常。再次，这只是为了testing之前推动哪一个，然后，将在一个允许的领域。

在简单的HTTP服务器上启用访问控制: 我有一个非常简单的HTTP服务器的以下shell脚本： #!/bin/sh echo "Serving at http://localhost:3000" python -m SimpleHTTPServer 3000 我想知道如何启用或添加像Access-Control-Allow-Origin: *到这个服务器的CORS头？

使用CORS Origin头与CSRF令牌的CSRF保护: 这个问题只关于防止跨站点请求伪造攻击。具体来说就是：通过Origin头部（CORS）的保护和通过CSRF令牌的保护一样好吗？例： Alice使用浏览器login（使用cookie）“ https://example.com ”。我假设她使用现代浏览器。 Alice访问“ https://evil.com ”，evil.com的客户端代码对“ https://example.com ”（传统的CSRF场景）执行某种请求。所以：如果我们不检查Origin头（服务器端），并且没有CSRF令牌，那么我们有一个CSRF安全漏洞。如果我们检查一个CSRF令牌，我们是安全的（但有点乏味）。如果我们检查Origin头文件，那么来自evil.com的客户端代码的请求应该被阻塞，就像使用CSRF令牌时一样 – 除非可以以某种方式为evil.com的代码设置Origin头部。我知道，如果我们相信W3C规范在所有现代浏览器中都能正确实现，那么XHR就不可能实现这一点（参见例如跨源资源共享的安全性），至less不能。但是其他types的请求呢 – 比如表单提交？加载脚本/ img / …标签？或者页面可以用来（合法地）创build请求的其他方式？或者，也许一些知名的JS黑客？注：我不是在说本地应用程序操纵浏览器，跨网站脚本错误在example.com的页面， …

什么是阻止恶意代码欺骗“Origin”头来利用CORS？: 我的理解是，如果在foo.com的页面上运行的客户端脚本想要从bar.com请求数据，那么在请求中必须指定标头Origin: http://foo.com ，并且bar必须使用Access-Control-Allow-Origin: http://foo.com响应。什么是阻止恶意代码从网站roh.com只是欺骗头Origin: http://foo.com要求从网页页面？

具有多个域的访问控制允许来源: 在我的web.config中，我想为access-control-allow-origin指令指定多个域。我不想使用*。我试过这个语法： <add name="Access-Control-Allow-Origin" value="http://localhost:1506, http://localhost:1502" /> 这个 <add name="Access-Control-Allow-Origin" value="http://localhost:1506 http://localhost:1502" /> 这个 <add name="Access-Control-Allow-Origin" value="http://localhost:1506; http://localhost:1502" /> 和这个 <add name="Access-Control-Allow-Origin" value="http://localhost:1506" /> <add name="Access-Control-Allow-Origin" value="http://localhost:1502" /> 但他们都没有工作。什么是正确的语法？