Access-Control-Allow-Origin:https://evilwww.bilibili.com Access-Control-Allow-Credentials:接受真正的后缀源(www.example.com 信任 evilexample.com)
时间: 2023-12-06 14:38:50 浏览: 30
Access-Control-Allow-Origin和Access-Control-Allow-Credentials是CORS(跨源资源共享)的两个重要响应头。前者指定了哪些源站可以访问该资源,后者指定了是否允许发送Cookie等凭据信息。如果Access-Control-Allow-Credentials的值为true,则Access-Control-Allow-Origin不能为*,必须指定具体的源站。
如果想让https://evilwww.bilibili.com这个源站可以访问该资源,并且接受真正的后缀源(www.example.com 信任 evilexample.com),可以在响应头中添加如下内容:
```nginx
add_header 'Access-Control-Allow-Origin' 'https://evilwww.bilibili.com';
add_header 'Access-Control-Allow-Credentials' 'true';
```
需要注意的是,如果源站不是https://evilwww.bilibili.com,那么访问该资源时会被浏览器拦截。如果需要允许其他源站访问该资源,可以在Access-Control-Allow-Origin中添加多个源站,用逗号隔开。
相关问题
Access-Control-Allow-Origin:https://evilwww.bilibili.com Access-Control-Allow-Credentials:接受真正的后缀源(www.example.com 信任 evilexample.com)
Access-Control-Allow-Origin和Access-Control-Allow-Credentials是CORS(跨域资源共享)中的两个重要概念。其中Access-Control-Allow-Origin用于指定哪些源可以访问资源,而Access-Control-Allow-Credentials则用于指定是否允许发送cookie等凭据信息。
如果想让https://evilwww.bilibili.com这个源可以访问资源并接受真正的后缀源(www.example.com 信任 evilexample.com),可以在服务器端设置如下的响应头:
```python
response.headers['Access-Control-Allow-Origin'] = 'https://evilwww.bilibili.com'
response.headers['Access-Control-Allow-Credentials'] = 'true'
```
这样就可以实现跨域访问并发送cookie等凭据信息了。
'origin': 'https://www.bilibili.com',是什么意思
这段代码中的`'origin': 'https://www.bilibili.com'`是一个HTTP请求头信息(Headers),其中`origin`是一个标准的请求头字段,用于指定请求的来源。在这里,`'https://www.bilibili.com'`表示请求的来源是Bilibili网站。
通常情况下,浏览器会自动将请求的来源信息包含在HTTP请求头中。服务器可以通过检查`origin`头字段来判断请求的来源,并根据需要进行一些安全性检查和限制。例如,服务器可以检查请求来源是否在白名单中,或者是否满足特定的安全要求,以保障系统的安全性。
需要注意的是,`origin`头字段只在跨域请求中才会发送。在同域请求中,浏览器不会发送`origin`头字段,因为在同一个域名下的请求是安全的,不需要进行安全性检查。