我读到一篇文章,用Cors-Anywhere实现了一个示例URL请求,这让我想到了同源策略可以很容易地被绕过。
虽然浏览器会防止你直接访问该错误,并在没有通过预检请求时取消该请求,但是简单的node服务器不需要遵守这样的规则,可以用作代理。
所需做的就是将 'https://cors-anywhere.herokuapp.com/'
添加到恶意脚本中请求的URL的开头,然后Voila,您无需通过CORS。
正如sideshowbarker指出的,只需要几分钟即可部署自己的Cors-Anywhere服务器。
这难道不使得SOP作为一项安全措施变得毫无意义吗?