V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  wheelg  ›  全部回复第 1 页 / 共 3 页
回复总数  60
1  2  3  
2023-09-14 16:32:32 +08:00
回复了 wheelg 创建的主题 问与答 V2 登录功能怎么了
@LYwyc2 为啥会被封啊,能解封吗?
2023-02-25 09:32:12 +08:00
回复了 shinsekai 创建的主题 分享发现 分享 iOS 下使用 Web app 后的感受
大部分没有适配的 pwa 会有这种情况,不过刘海和横条也是可以适配的,比如我的 oncent.github.io
2023-02-19 22:07:02 +08:00
回复了 wheelg 创建的主题 随想 吐槽一下 google analytics
@eason1874 看过了,这里的事件指的是 GA 自己收集的默认事件,并且只能根据其已有的事件来创建事件,不是指通过代码手动上报的自定义埋点事件,例如我在代码中设置了某个按钮点击后上报分享事件,并没有在官方文档里说明如何获取
@HoshinoRei 修好了
@Peikon
@HoshinoRei
新版修复了,打开后等一会退出重进可以更新,版本 0.02
@HoshinoRei 有复现步骤吗?我试了下电脑和手机都能正常切换
[email protected] 谢谢大佬
2022-04-06 17:38:39 +08:00
回复了 jadeydi 创建的主题 酷工作 [远程][内推][20k-40k] 招聘中高级前端开发
打错了,是 @mixin.one 发送不了
2022-04-06 17:33:37 +08:00
回复了 jadeydi 创建的主题 酷工作 [远程][内推][20k-40k] 招聘中高级前端开发
.mixin@one 邮箱似乎发送不了邮件
有什么经验要求吗?
2022-03-27 11:58:45 +08:00
回复了 wheelg 创建的主题 程序员 浏览器为什么选择了如今的同源策略
看了各位的回答后,我的理解是这样的:

浏览器在设计之初并没有一个很好的身份认证手段,于是采用了 cookie 用作身份认证,为了鉴定用户身份,浏览器不得不每次发送请求时都带上请求网站的 cookie ,因此为了考虑兼容性,不能阻止`a.com`向`b.com`发送请求时带上`b.com`的 cookie 。

所以为了避免恶意网站利用这个 cookie ,对于非同源请求,浏览器选择了先向服务器询问`a.com`是不是可信任的( OPTIONS 预检),得到确认后才会向服务器发送真正的请求,也就是同源策略。

如今大部分本地应用采用的是 jwt 方式保存登录信息,因此也就避免了浏览器 cookie 的漏洞,所以不需要同源策略,虽然现在的网页也可以使用 jwt 方式认证,但是为了兼容性,浏览器依然需要使用原有的 cookie 发送策略,才会有同源策略这一限制。

那么以后会不会出现某种新的浏览器 API ,使用此 API 时可以抛弃原有的 cookie 策略,允许开发者自由访问其他域名的请求呢?
2022-03-26 22:54:06 +08:00
回复了 wheelg 创建的主题 程序员 浏览器为什么选择了如今的同源策略
@pursuer 有一定的道理,不知道如果以后添加 pwa 也可以被视为“用户知道自己在做什么”的话,会不会取消一定程度的同源限制,postman pwa 版多好啊
2022-03-26 22:44:30 +08:00
回复了 chuanqirenwu 创建的主题 程序员 博客改版,有没有极简风的博客主题推荐参考?
真极简还得看这个 https://glink25.github.io ,基于 vitepress 的,简得不能再简
2022-03-26 22:32:59 +08:00
回复了 wheelg 创建的主题 程序员 浏览器为什么选择了如今的同源策略
各位可以换个角度想想这个问题,为什么浏览器对网页的限制要比操作系统对本地应用的限制要多得多?

理论上来说,本地应用能获取到的信息、对用户系统的危害远大于网页,为什么反而是浏览器的安全措施更严格(特指网络请求方面)?仅仅是因为本地应用需要下载安装这个步骤比较麻烦吗?那如果以后应用体积越来越小,例如 App Clip 和安卓快应用这类轻量的应用也需要收到类似同源策略的限制吗?

还是说,因为浏览器本身的历史原因,它无法做到和本地应用一样的安全性,才不得已选择了同源策略这种较为严格的手段呢?
2022-03-26 22:23:14 +08:00
回复了 wheelg 创建的主题 程序员 浏览器为什么选择了如今的同源策略
@jiangzm 换个角度想想,为什么操作系统没有对本地应用程序设置类似同源策略的限制,目前的 web 应用已经基本上可以做到和本地应用一样的登录认证逻辑了吧,那为什么浏览器要格外严格呢?
如果我在我的应用程序代码里也嵌入了很多其他网站的请求,这是不是也属于非预期请求呢?浏览器对网页如此严格的限制看起来还是有其他的原因在
2022-03-26 22:11:16 +08:00
回复了 wheelg 创建的主题 程序员 浏览器为什么选择了如今的同源策略
@lscho 第二个解释里,浏览器如果不能代替网站提供商做决定的话,就更不需要如此严厉的同源策略才对,应该把这些东西都交给 js 去控制,这不是更好吗?
2022-03-26 22:08:44 +08:00
回复了 wheelg 创建的主题 程序员 浏览器为什么选择了如今的同源策略
@BeautifulSoap 目前的同源策略无法防止你说的这种情况哦,如果黑客已经在你的网站里插入了恶意代码,他完全可以直接访问他自己的服务器,只需要用 cors 跨域就可以了。
2022-03-26 19:15:08 +08:00
回复了 wheelg 创建的主题 程序员 浏览器为什么选择了如今的同源策略
@nuk 嗯,所以我觉得,同源策略最主要的目的不是保护网站自己,而是保护其他服务器不被网站攻击,就好像你也可以发给他一条 curl 命令骗他输到终端里一样,但是打开网页比起打开终端或者其他应用来说要方便多了,所以才会用同源策略来禁止网站的能力
2022-03-26 19:09:29 +08:00
回复了 wheelg 创建的主题 程序员 浏览器为什么选择了如今的同源策略
@des 如果浏览器能做到足够安全的沙盒环境,把每个网站视作独立的本地应用来看待,不让网站有互相访问本地数据的可能性就可以防止这一点了,类似于 bilibili 客户端和手机银行客户端的关系,而不需要使用现在这个这么严格的同源策略,所以说目前的同源策略目的也不是为了防止这种问题。
2022-03-26 19:06:48 +08:00
回复了 wheelg 创建的主题 程序员 浏览器为什么选择了如今的同源策略
这里说一下我的理解吧:

如果浏览器能像本地应用程序那样做好沙盒环境,保证一个网站无法读取到另一个网站的本地数据(包括 cookie 、localstorage 等等)的话,对于网站而言,这样的安全性已经足够了。但是网页和本地应用最大的区别是网页打开太方便了,导致用户受到的网络攻击的可能性远远高于本地应用,并且浏览器对自己采取的安全措施十分不放心,正如这个[回答]( https://stackoverflow.com/questions/29167428/same-origin-policy-and-cors-whats-the-point)中说的一样,浏览器的安全措施如果仅仅是刚好够用的话都已经不能满足 W3C 对安全的要求了

`This all shows that the security model of WWW is very subtle and not well thought of. It has evolved instead of being well-designed. `

如果允许网页无限制地访问非同源网站内容,那么浏览器潜在的漏洞导致的安全事故会极大地影响互联网的安全,除去可能存在的隐私泄漏问题,恶意网站还可能会让每一个访问它的用户为它打工,例如静默访问其他网站刷取点击量,或者成为 DDOS 的帮凶,因此 W3C 才选择了现在的这个极为严格的同源策略作为安全手段,就是为了尽可能减少安全问题。
1  2  3  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2814 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 22ms · UTC 08:37 · PVG 16:37 · LAX 00:37 · JFK 03:37
Developed with CodeLauncher
♥ Do have faith in what you're doing.