SORU
13 Mart 2013, ÇARŞAMBA


KÖŞELERİ - Ne ön kontrol istekleri tanıtan arkasındaki motivasyon nedir?

Çapraz kökeni kaynak paylaşımıbir web sayfasını başka bir etki alanı (wikipedia) Oluşturmasına yapmak sağlayan bir mekanizma ve çok önemli (benden :).

Gün son çift için KÖŞELERİ ile işe yaramaz oldum ve her şeyi nasıl çalıştığını iyi bir anlayış olduğunu düşünüyorum.

Benim sorum KÖŞELERİ ön çalışma / hakkında değil, ilgiliyeni istek türü olarak preflights ile geliyor arkasındaki nedeni. Ne ilgisi olmaması için bir neden sunucu ihtiyaçları göndermek için ön kontrol (PR) sunucu B için öğrenirse asıl isteği (RR) kabul edilecektir ya da değil - bu kesinlikle mümkün olması için B için kabul et/Reddet RR olmadan önce PR.

Biraz aradıktan sonra www.w3.org bilgi this piece (7.1.5) buldum:

Bu şartname ön kontrol isteği var olmadan önce bazı kullanıcı arayüzleri kaynaklı olamayacağını kökenli çapraz isteklerine karşı kaynakları korumak için kaynak bu şartname farkında olduğundan emin olmak için yapılır.

Bu cümleyi hiç anlamak zor buluyorum. (En iyisi bu 'en iyi') B spec farkında olmayan sunucu C isteklerine karşı sunucu korumak değil sanırım. benim yorumum

Birileri bu HALKLA RR RR daha iyi çözer bir sorun göster / senaryo açıklayın lütfen yalnız bırakır mısın?

CEVAP
5 HAZİRAN 2013, ÇARŞAMBA


Bir süre ön kontrol talebinin amacını anlamış olmanın geçirdim ama şimdi anlıyorum sanırım.

Anahtar ınsight ön kontrol istekleri bir değildirgüvenlikşey. Bunun yerine, onlar-değişen--kurallarşey.

Ön kontrol istekleri güvenlik ile ilgisi var, ve şimdi, bir İSTASYONDAN bir farkındalık ile geliştirilen uygulamaları ile hiçbir ilgisi yok. Bunun yerine, ön kontrol mekanizması geliştirilmiş sunucuları sağlarolmadanbir İSTASYONDAN bir farkındalık ve fonksiyonları istemci ve ikisi de sunucu arasında bir tutarlılık kontrolü gibi bir İSTASYONDAN farkında. Geliştiriciler bir İSTASYONDAN hissettim vardı yeterince sunucuları var güveniyordun varsayım onlar asla alma, örneğin, bir çapraz etki alanı SİLMEK istemek için icat edilmiş şeylerdi ön kontrol mekanizması için izin her iki taraf için de kabul etme. Sadece çapraz etki alanı çağrıları etkinleştirmek için olurdu, alternatif çok fazla mevcut uygulamalar kırabilirdi hissettiler.

Üç senaryo var:

  1. Eski sunucuları, artık geliştirme aşamasında, ve bir İSTASYONDAN önce geliştirdi. Bu sunucular hiç etki alanları arası bir SİLME isteği örneğin alırlar bu varsayımlar yapabilir.Bu senaryo ön kontrol mekanizması birincil yararlanıcı.Evet bu hizmetleri verebilir çoktan istismar ederek bir kötü niyetli veya non-uyumlu kullanıcı aracı (ve bir İSTASYONDAN bir şey mi değiştirmek bu), ama bir dünya ile KÖŞELERİ ön kontrol mekanizması sağlar ekstra 'akıl sağlığını kontrol' böylece istemciler ve sunucular kırmayın, çünkü temel kuralları web değişti.

  2. Sunucular hala geliştiriliyor, ama hangi içeren bir çok eski Kodu ve hangi değil uygun/arzu için Denetim tüm eski kod emin olmak için çalışır düzgün bir çapraz etki alanı dünya. Bu senaryo sağlar sunucularına giderek kayıt için KÖŞELERİ, örneğin, diyerek "Şimdi izin veriyorum bu özel başlık", "Şimdi izin veriyorum bu özel HTTP fiil", "Şimdi izin veriyorum kurabiye/auth bilgi gönderilmesi", vb.Bu senaryo ön kontrol mekanizması vardır.

  3. Bir İSTASYONDAN bir bilinç ile yazılmış yeni sunucuları. Standart güvenlik uygulamalarına göre, sunucu karşısında kaynaklarını korumak zorundadırherhangi birgelen istek -- sunucuları kötü niyetli bir şeyler yapmak için müşterilerine güven olmaz.Bu senaryo ön kontrol mekanizması fayda sağlamaz: ön kontrol mekanizması düzgün kaynaklarını korumalı bir sunucu için ek güvenlik getiriyor.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • booba1234

    booba1234

    22 Temmuz 2006
  • David Wills

    David Wills

    31 Aralık 2007
  • Kim Barbin

    Kim Barbin

    3 Mayıs 2012