Використовуючи браузер Google Chrome для тестування міждоменного інтерфейсу викликів, на наступному рисунку зафіксована помилка:
Доступ до XMLHttpRequest за адресою 'http://192.168.50.227:9200/' з вихідного 'http://www.xxx.com' заблоковано політикою CORS: клієнт-запит не є захищеним контекстом, і ресурс знаходиться у більш приватний адресний простір «приватний».
Введіть наступне у панель навігації браузера:
Блокуйте незахищені запити на приватну мережу. Сухий закон, тобто культиваціяВимкнутоПерезавантажте браузер.
Запобігає тому, що незахищені контексти можуть надсилати запити субресурсів на більш приватні IP-адреси. IP-адреса IP1 є більш приватною, ніж IP2, якщо 1) IP1 є локальним хостом, а IP2 — ні, або 2) IP1 приватний, а IP2 публічний. Це перший крок до повного забезпечення виконання CORS-RFC1918:https://wicg.github.io/cors-rfc1918– Mac, Windows, Linux, Chrome OS, Android
Запобігти тому, щоб не-безпекові контексти надсилали запити на субресурси на більш виділені IP-адреси. Якщо 1) IP1 є локальним хостом, а IP2 — ні, або 2) IP1 приватний, а IP2 публічний, то IP-адреса IP1 є більш приватною, ніж IP2. Це перший крок у повному впровадженні CORS-RFC1918:https://wicg.github.io/cors-rfc1918– Mac, Windows, Linux, Chrome OS, Android 
Моє власне розуміння: мета Google Chrome може бути з міркувань безпеки, щоб запобігти доступу до деяких зовнішніх вебсайтів, які безпосередньо проходять через хост, що сканує локальну мережу; якщо деякі сервери, встановлені на LAN, встановлюють вразливі сервіси і дозволяють кросдоменний доступ, щоб зовнішні сайти могли атакувати вразливі сервіси локальної мережі через вразливості.
(Кінець)
|
Опубліковано 07.11.2021 20:00:32
|
|
|
|
