Используя браузер Google Chrome для тестирования междоменного интерфейса вызова, на следующем рисунке указана ошибка:
Доступ к XMLHttpRequest по адресу 'http://192.168.50.227:9200/' из исходного 'http://www.xxx.com' был заблокирован политикой CORS: клиент-запрос не является защищённым контекстом, а ресурс находится в более приватное адресное пространство «приватное».
Введите следующее в навигационную панель браузера:
Блокируйте незащищённые запросы на частную сеть. Сухой закон, то есть культивациянетрудоспособныйПерезагрузите браузер.
Предотвращает незащищённые контексты от запросов субресурсов к более частным IP-адресам. IP-адрес IP1 более приватен, чем IP2, если 1) IP1 является локальным хостом, а IP2 — нет, или 2) IP1 приватен, а IP2 публичным. Это первый шаг к полному исполнению CORS-RFC1918:https://wicg.github.io/cors-rfc1918– Mac, Windows, Linux, Chrome OS, Android
Предотвращайте запросы субресурсов на более выделенные IP-адреса, не связанные с безопасностью, не связанные с безопасностью. Если 1) IP1 является локальным хостом, а IP2 — нет, или 2) IP1 приватен, а IP2 публичный, то IP-адрес IP1 более приватен, чем IP2. Это первый шаг в полной реализации CORS-RFC1918:https://wicg.github.io/cors-rfc1918– Mac, Windows, Linux, Chrome OS, Android 
Моё собственное понимание: цель Google Chrome может быть связана с соображениями безопасности: предотвратить доступ к внешним сайтам, проходящим напрямую через хост, сканирующий локальную сеть; если некоторые серверы, установленные на LAN, устанавливают уязвимые сервисы и позволяют междоменному доступу, чтобы внешние сайты могли атаковать уязвимые сервисы локальной сети через уязвимости.
(Конец)
|
Опубликовано 07.11.2021 20:00:32
|
|
|
|
