我可能会离开这个,所以如果是这样,请原谅我......
Web 浏览器能够允许远程 Web 服务器访问本地网络资源……即浏览计算机上的 localhost,以及浏览器后面的潜在其他网络设备。它默认启用,并且没有 UI 界面可以禁用它。
这对我来说是个新闻,有点可怕。为什么在世界上会有人允许远程站点通过他们的浏览器将命令反弹到内部的其他设备......大概受到网络防火墙的保护以防止这种情况发生?!?!?!
谁可以给我解释一下这个?当我在谷歌上搜索“禁用 CORS”时,似乎这会使它更开放,更不安全。我想彻底禁用该功能。
我在引用“content.cors.disable”的https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS/Errors/CORSDisabled中发现了一个可能的答案 ,但我不能在其他任何地方找到该设置的提及,并且该链接没有扩展它的确切功能。这个名字听起来像我想要的,但我不想做出这样的假设并最终让事情变得更糟。
如果有人能阐明这一点,将不胜感激。如果这是错误的论坛,请让我知道我应该将其发布到哪个 SE 站点。
谢谢
你读的那篇文章是用耸人听闻的方式写的,只是耸人听闻的程度是新的。实际上,浏览器可以很好地抵御外部攻击,并且本地资源也得到了很好的保护。
跨域资源共享 (CORS) 已经存在于所有主要浏览器上,定义为:
这意味着亚马逊上看似无辜的广告无法使用 JavaScript 从恶意第三方网站下载代码。
您将在 Mozilla 文章 跨域资源共享 (CORS) 中找到更多信息,了解哪些是访问第三方网站的限制。
您看到的文章谈到 Chrome 比今天更进一步收紧 CORS。如果您禁用 CORS,您将打开浏览器对此类攻击敞开大门,这与您的意愿相反。
如果您希望进一步提高对恶意 JavaScript 的保护,您可以使用 NoScript 等扩展程序,该扩展程序不允许执行来自您自己未手动列入白名单的网站的所有 JavaScript。