คำถามติดแท็ก same-origin-policy

Mod note : คำถามนี้เกี่ยวกับสาเหตุที่บุรุษไปรษณีย์ไม่อยู่ภายใต้ข้อ จำกัด ของ CORS ในลักษณะเดียวกับ XMLHttpRequest คำถามนี้ไม่ได้เกี่ยวกับวิธีการแก้ไขข้อผิดพลาด "ไม่ 'การเข้าถึงการควบคุมการอนุญาตให้กำเนิด' ... " กรุณาหยุดโพสต์ : การกำหนดค่า CORS สำหรับทุกภาษา / กรอบภายใต้ดวงอาทิตย์ แทนที่จะหา / คำถามกรอบของภาษาที่เกี่ยวข้องของคุณ บริการของบุคคลที่สามที่อนุญาตให้มีการร้องขอเพื่อหลีกเลี่ยง CORS ตัวเลือกบรรทัดคำสั่งสำหรับการปิด CORS สำหรับเบราว์เซอร์ต่างๆ ฉันกำลังพยายามที่จะทำการอนุญาตใช้งาน JavaScriptโดยการเชื่อมต่อไปยังสงบ APIในตัวขวด อย่างไรก็ตามเมื่อฉันขอฉันได้รับข้อผิดพลาดดังต่อไปนี้: XMLHttpRequest ไม่สามารถโหลดhttp: // myApiUrl / เข้าสู่ระบบ ไม่มีส่วนหัว 'Access-Control-Allow-Origin' บนทรัพยากรที่ร้องขอ จุดเริ่มต้น 'null' ไม่อนุญาตให้เข้าถึง ฉันรู้ว่า API หรือทรัพยากรระยะไกลต้องตั้งค่าส่วนหัว แต่ทำไมมันทำงานเมื่อฉันทำคำขอผ่านบุรุษไปรษณีย์ส่วนขยายของ Chrome …

2500 javascript  jquery  cors  same-origin-policy  flask-restless 

ฉันต้องการจัดการ HTML ภายใน iframe โดยใช้ jQuery ฉันคิดว่าฉันสามารถทำได้โดยการตั้งค่าบริบทของฟังก์ชัน jQuery เป็นเอกสารของ iframe บางอย่างเช่น: $(function(){ //document ready $('some selector', frames['nameOfMyIframe'].document).doStuff() }); อย่างไรก็ตามเรื่องนี้ดูเหมือนจะไม่ทำงาน การตรวจสอบเล็กน้อยแสดงให้ฉันเห็นว่าตัวแปรในframes['nameOfMyIframe']นั้นอยู่undefinedนอกเสียจากว่าฉันจะรอสักครู่เพื่อให้โหลด iframe อย่างไรก็ตามเมื่อ iframe โหลดตัวแปรจะไม่สามารถเข้าถึงได้ (ฉันได้รับpermission deniedข้อผิดพลาด -type) มีใครรู้บ้างเกี่ยวกับเรื่องนี้?

791 javascript  jquery  iframe  same-origin-policy 

ฉันกำลังโหลด<iframe>ในหน้า HTML ของฉันและพยายามเข้าถึงองค์ประกอบภายในโดยใช้ Javascript แต่เมื่อฉันพยายามรันโค้ดของฉันฉันได้รับข้อผิดพลาดต่อไปนี้: SecurityError: Blocked a frame with origin "http://www.<domain>.com" from accessing a cross-origin frame. คุณช่วยฉันหาวิธีแก้ปัญหาเพื่อให้ฉันสามารถเข้าถึงองค์ประกอบในเฟรมได้หรือไม่? ฉันใช้รหัสนี้สำหรับการทดสอบ แต่ในไร้สาระ: $(document).ready(function() { var iframeWindow = document.getElementById("my-iframe-id").contentWindow; iframeWindow.addEventListener("load", function() { var doc = iframe.contentDocument || iframe.contentWindow.document; var target = doc.getElementById("my-target-id"); target.innerHTML = "Found it!"; }); });

555 javascript  jquery  security  iframe  same-origin-policy 

ล็อคแล้ว คำถามและคำตอบนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ นโยบายกำเนิดเดียวกัน ฉันต้องการสร้างวิกิชุมชนเกี่ยวกับนโยบาย HTML / JS เดียวกันเพื่อหวังว่าจะช่วยให้ทุกคนค้นหาหัวข้อนี้ได้ นี่เป็นหนึ่งในหัวข้อที่ค้นหามากที่สุดใน SO และไม่มีวิกิรวมไว้ด้วยดังนั้นที่นี่ฉันไป :) นโยบายกำเนิดเดียวกันป้องกันเอกสารหรือสคริปต์ที่โหลดจากจุดเริ่มต้นหนึ่งจากการรับหรือการตั้งค่าคุณสมบัติของเอกสารจากจุดกำเนิดอื่น นโยบายนี้มีอายุย้อนกลับไปที่ Netscape Navigator 2.0 อะไรคือวิธีที่คุณโปรดปรานในการใช้นโยบายต้นกำเนิดเดียวกัน โปรดเก็บตัวอย่าง verbose และควรเชื่อมโยงแหล่งที่มาของคุณด้วย

150 javascript  ajax  same-origin-policy 

ฉันเคยเห็นบทความและโพสต์ทั่ว (รวมถึง SO) ในหัวข้อนี้และความเห็นที่แพร่หลายคือนโยบายต้นกำเนิดเดียวกันป้องกันฟอร์ม POST ข้ามโดเมน คนเพียงสถานที่ที่ผมเคยเห็นชี้ให้เห็นว่านโยบายเดียวกันแหล่งกำเนิดไม่ได้นำไปใช้กับรูปแบบการโพสต์อยู่ที่นี่ ฉันต้องการคำตอบจาก "ทางการ" หรือแหล่งข้อมูลทางการ ตัวอย่างเช่นไม่มีใครรู้ RFC ที่ระบุว่ามีต้นกำเนิดเดียวกันหรือไม่มีผลต่อฟอร์ม POST หรือไม่ คำชี้แจง : ฉันไม่ได้ถามว่าสามารถสร้าง GET หรือ POST และส่งไปยังโดเมนใด ๆ ได้หรือไม่ ฉันกำลังถาม: ถ้า Chrome, IE หรือ Firefox จะอนุญาตเนื้อหาจากโดเมน 'Y' เพื่อส่ง POST ไปยังโดเมน 'X' ถ้าเซิร์ฟเวอร์ที่รับ POST จะเห็นค่าฟอร์มใด ๆ เลย ฉันพูดแบบนี้เพราะส่วนใหญ่ของการสนทนาออนไลน์บันทึกผู้ทดสอบบอกว่าเซิร์ฟเวอร์ได้รับการโพสต์ แต่ค่าแบบฟอร์มทั้งหมดว่าง / ถอดออก เอกสารอย่างเป็นทางการใด ๆ (เช่น RFC) อธิบายว่าพฤติกรรมที่คาดหมายคืออะไร …

145 html  security  http  csrf  same-origin-policy 

tl; dr; เกี่ยวกับนโยบายแหล่งกำเนิดเดียวกัน ฉันมีกระบวนการ Grunt ซึ่งเริ่มต้นอินสแตนซ์ของเซิร์ฟเวอร์ express.js สิ่งนี้ใช้งานได้ดีจนถึงตอนนี้เมื่อเริ่มแสดงหน้าว่างโดยมีสิ่งต่อไปนี้ปรากฏในบันทึกข้อผิดพลาดในคอนโซลของนักพัฒนาซอฟต์แวร์ใน Chrome (เวอร์ชันล่าสุด): XMLHttpRequest ไม่สามารถโหลดhttps://www.example.com/ ไม่มีส่วนหัว 'Access-Control-Allow-Origin' อยู่ในทรัพยากรที่ร้องขอ Origin ' http: // localhost: 4300 ' จึงไม่ได้รับอนุญาตให้เข้าถึง อะไรทำให้ฉันไม่สามารถเข้าถึงเพจได้

114 javascript  cors  same-origin-policy 

ฉันกำลังพัฒนาเครื่องมือวิจัยในพื้นที่ซึ่งต้องการให้ฉันปิดนโยบายต้นทางเดียวกันของ Firefox (ในแง่ของการเข้าถึงสคริปต์ฉันไม่สนใจคำขอข้ามโดเมนจริงๆ) โดยเฉพาะอย่างยิ่งฉันต้องการให้สคริปต์ในโดเมนโฮสต์สามารถเข้าถึงองค์ประกอบที่กำหนดเองใน iframe ใด ๆ ที่ฝังอยู่ในเพจไม่ว่าจะโดเมนใดก็ตาม ฉันทราบ Q & As ก่อนหน้านี้ซึ่งกล่าวถึงส่วนขยาย CORS FF แต่นั่นไม่ใช่สิ่งที่ฉันต้องการเนื่องจากอนุญาตเฉพาะ CORS แต่ไม่สามารถเข้าถึงสคริปต์ได้ หากไม่สามารถทำได้อย่างง่ายดายฉันจะขอบคุณข้อมูลเชิงลึกที่ชี้ให้ฉันเห็นส่วนเฉพาะของโค้ด FF src ที่ฉันสามารถแก้ไขเพื่อปิดใช้งาน SOP เพื่อที่ฉันจะได้คอมไพล์ FF ใหม่

110 security  firefox  same-origin-policy 

ฉันมีปัญหากับ--disable-web-securityธง ไม่ทำงานใน Chrome 48 และ Chrome 49 เบต้าบน Windows ฉันได้ลองฆ่าอินสแตนซ์ทั้งหมดรีบูตและเรียกใช้ Chrome ด้วยแฟล็กก่อนอื่นลองใช้เครื่องอื่นด้วย ในรุ่นเบต้าฉันเห็นป๊อปอัปคำเตือน ("คุณกำลังใช้แฟล็กที่ไม่รองรับ .. ") แต่ CORS ยังคงถูกบังคับใช้ เวอร์ชันสาธารณะดูเหมือนจะเพิกเฉยต่อการตั้งค่าสถานะโดยสิ้นเชิง ดูเหมือนจะไม่มีข่าวหรือผู้คนรายงานเกี่ยวกับเรื่องนี้ดังนั้นจึงอาจเป็นปัญหาในท้องถิ่น จะขอบคุณสำหรับความช่วยเหลือหรือข้อมูลที่เกี่ยวข้อง

91 google-chrome  security  same-origin-policy