タグ付けされた質問 「same-origin-policy」

8
JavaScriptコードでPostmanが「要求されたリソースに「Access-Control-Allow-Origin」ヘッダーが存在しない」というエラーが表示されないのはなぜですか?
Modの注記:この質問は、なぜPostmanがXMLHttpRequestと同じようにCORS制限を受けない理由についてです。この質問はありません「いいえ『アクセス制御-許可-起源』 ...」エラーを修正する方法について。 投稿を停止してください: 太陽の下でのすべての言語/フレームワークのCORS構成。代わりに、関連する言語/フレームワークの質問を見つけてください。 CORSを回避するリクエストを許可するサードパーティサービス さまざまなブラウザーでCORSをオフにするコマンドラインオプション RESTful API組み込みFlaskに接続することにより、JavaScriptを使用して認証を実行しようとしています。しかし、リクエストを行うと、次のエラーが発生します。 XMLHttpRequestがhttp:// myApiUrl / loginを読み込めません。リクエストされたリソースに「Access-Control-Allow-Origin」ヘッダーがありません。したがって、オリジン「null」はアクセスを許可されません。 APIまたはリモートリソースでヘッダーを設定する必要があることはわかっていますが、Chrome拡張機能Postmanを介してリクエストを送信したときに、なぜそれが機能したのですか? これはリクエストコードです: $.ajax({ type: "POST", dataType: 'text', url: api, username: 'user', password: 'pass', crossDomain : true, xhrFields: { withCredentials: true } }) .done(function( data ) { console.log("done"); }) .fail( function(xhr, textStatus, errorThrown) { alert(xhr.responseText); alert(textStatus); });

14
jQuery / JavaScript:iframeのコンテンツへのアクセス
jQueryを使用してiframe内のHTMLを操作したいと思います。 次のように、jQuery関数のコンテキストをiframeのドキュメントに設定することで、これを実行できると思いました。 $(function(){ //document ready $('some selector', frames['nameOfMyIframe'].document).doStuff() }); しかし、これはうまくいかないようです。少し調べてみると、iframeが読み込まれるまでしばらく待たなければ、の変数がframes['nameOfMyIframe']残っundefinedていることがわかります。ただし、iframeの読み込み時に変数にアクセスできません(permission denied-typeエラーが発生します)。 誰かがこれの回避策を知っていますか?

7
SecurityError:originのあるフレームがcross-origin frameにアクセスするのをブロックしました
<iframe>HTMLページにを読み込んで、JavaScriptを使用してページ内の要素にアクセスしようとしていますが、コードを実行しようとすると、次のエラーが発生します。 SecurityError: Blocked a frame with origin "http://www.<domain>.com" from accessing a cross-origin frame. フレーム内の要素にアクセスできるように、解決策を見つけるのを手伝っていただけませんか? 私はこのコードをテストに使用していますが、無駄です: $(document).ready(function() { var iframeWindow = document.getElementById("my-iframe-id").contentWindow; iframeWindow.addEventListener("load", function() { var doc = iframe.contentDocument || iframe.contentWindow.document; var target = doc.getElementById("my-target-id"); target.innerHTML = "Found it!"; }); });

11
同一生成元ポリシーを回避する方法
ロックされています。質問はトピックから外れていますが、歴史的に重要であるため、この質問とその回答はロックされています。現在、新しい回答や相互作用を受け入れていません。 同じオリジンポリシー HTML / JSの同一生成元ポリシーに関するコミュニティーWikiを作成して、このトピックを検索している人を助けたいと思っています。これは、SOで最も検索されているトピックの1つであり、統合されたWikiがないため、ここに移動します:) 同じ生成元ポリシーは、ある生成元からロードされたドキュメントまたはスクリプトが別の生成元からドキュメントのプロパティを取得または設定することを防ぎます。このポリシーは、Netscape Navigator 2.0までさかのぼります。 同じ生成元のポリシーを回避するためのお気に入りの方法は何ですか? 例を冗長に保ち、できればソースもリンクしてください。

3
クロスドメインフォームのPOST
私はこのトピックに関する記事や投稿(SOを含む)をすべて見てきましたが、主流のコメントは、同一生成元ポリシーがドメイン間でフォームPOSTを防止するというものです。同じ起源のポリシーがフォームの投稿に適用されないことを誰かが示唆しているのを見た唯一の場所はここです。 もっと「公式」または正式な情報源からの回答を希望します。たとえば、同一生成元がフォームPOSTにどのように影響するか、または影響しないかを扱うRFCを誰かが知っていますか? 説明:GETまたはPOSTを構築して任意のドメインに送信できるかどうかは尋ねていません。私は尋ねています: Chrome、IE、またはFirefoxでドメイン「Y」のコンテンツがドメイン「X」にPOSTを送信できる場合 POSTを受信するサーバーが実際にフォームの値をまったく表示する場合。私がこれを言ったのは、オンラインディスカッションの大多数がテスターがサーバーが投稿を受け取ったと記録しているが、フォームの値はすべて空である/取り除かれているためです。 公式ドキュメント(RFCなど)は、(ブラウザが現在実装しているものに関係なく)予想される動作を説明しています。 ちなみに、同一生成元がフォームのPOSTに影響を与えない場合は、偽造防止トークンが必要な理由がいくらか明らかになります。攻撃者が単純にHTTP GETを発行して偽造防止トークンを含むフォームを取得し、同じトークンを含む不正なPOSTを作成する可能性があると信じるのは簡単すぎるため、「やや」と言います。コメント?

8
XMLHttpRequestはXXXを読み込めません 'Access-Control-Allow-Origin'ヘッダーがありません
tl; dr; 同一生成元ポリシーについて express.jsサーバーのインスタンスを開始するGruntプロセスがあります。これは、Chromeの開発者コンソール(最新バージョン)のエラーログに次のように表示される空白ページの提供を開始するまで、まったく問題なく機能していました。 XMLHttpRequestがhttps://www.example.com/を読み込め ません。リクエストされたリソースに「Access-Control-Allow-Origin」ヘッダーがありません。したがって、オリジン ' http:// localhost:4300 'はアクセスを許可されません。 ページにアクセスできないのはなぜですか?

7
Firefoxの同じ生成元のポリシーを無効にする
私は、Firefoxの同じ生成元ポリシーをオフにするように要求するローカルの調査ツールを開発しています(スクリプトアクセスに関しては、クロスドメインリクエストについては特に気にしません)。 具体的には、ホストドメインのスクリプトが、ドメインに関係なく、ページに埋め込まれたiframe内の任意の要素にアクセスできるようにしたいと考えています。 CORS FF拡張機能について言及した以前のQ&Aは知っていますが、それはCORSのみを許可し、スクリプトアクセスは許可しないため、私が必要とするものではありません。 簡単に実行できない場合は、FFを再コンパイルできるようにSOPを無効にするために変更できるFF srcコードの特定の部分を指摘する洞察もいただければ幸いです。

13
Chrome48以降のWebセキュリティを無効にする
--disable-web-security旗に問題があります。WindowsのChrome48およびChrome49ベータ版では機能しません。 私はすべてのインスタンスを強制終了し、最初にフラグを付けてChromeを再起動して実行し、別のマシンも試しました。ベータ版では、警告ポップアップ(「サポートされていないフラグを使用しています。」)が表示されますが、CORSは引き続き適用されます。パブリックバージョンはフラグを完全に無視しているようです。 それについてのニュースや人々の報告はないようですので、それは地域の問題かもしれません。ヘルプまたは関連情報に感謝します。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.