クライアント側では、すべてが変わりません。 現在、ブラウザは送信時にリクエストをブロックしませんが、リクエストの送信元であるドメイン名を含むヘッダーを追加し
Origin: example.com
:
Origin: example.com
彼は単にサーバーからの応答をスキップしないので、サーバーは特別なヘッダーを追加する必要があります:
Access-Control-Allow-Origin: *
サーバーは、アスタリスクの代わりに、応答を受信できる特定のドメインを指定できます。
これがそのようなエレガントなソリューションです。 不要なHTTPリクエストがなければ、個々のページへのアクセス権を柔軟に設定して、フラッシュとは対照的に、最終的には、既存のアプリケーションのセキュリティを侵害することなく、クライアントAPIを変更せずに(結局、別のドメインからの画像をロードしたり、ifreymが早くなる可能性にフォームを送信)、および。
CORS仕様
ブラウザのサポート
セキュリティに関する考慮事項
easyXDM-すべてのブラウザでFlashなしで動作する代替ソリューション