我不是安全专家,很难弄清楚跨源资源策略和 CORS 之间的区别。我看到两者都依赖于服务器发送的标头,并且信任浏览器不允许将服务器内容传递给浏览器中的请求者(如果服务器这么说)。我哪里理解错了?
当网站请求来自不同来源的资源时,它被视为跨源请求。浏览器实施“同源策略”来限制此类请求。仅当两个页面具有相同来源时,同源策略才允许网站访问另一个页面的数据。 我们可以通过跨源资源共享(CORS)来改变这种行为。 但是,同源策略
不会阻止浏览器嵌入其他来源的资源。例如,它可以使用 <img> 标签显示图像,或使用
<video>