Warum haben nicht mehr oEmbed-Anbieter die domänenübergreifende gemeinsame Nutzung von Ressourcen an ihren Endpunkten aktiviert?

9

Es scheint, dass die meisten, wenn nicht alle, oEmbedded-Provider-Endpunkte keine CORS-Funktion haben. Das bedeutet, ich muss JSONP (für diejenigen, die es unterstützen) verwenden oder einen Server-Proxy durchlaufen, nur um oEmbed zu verwenden.

Es gibt eine Unternehmensrichtlinie gegen die Verwendung von JSONP von Drittanbietern, aber ich möchte oEmbed dennoch rein clientseitig nutzen (für bestimmte Anbieter, denen wir vertrauen). Ich verstehe die Sicherheitsimplikationen eines VERBRAUCHERS von oEmbed und warum sie Drittanbieter-Markups möglicherweise nicht direkt auf ihren Seiten zulassen möchten, aber warum sollten Anbieter dies einschränken? Ich könnte genauso leicht XSS-Sicherheitslücken haben, wenn ich einen Server-Proxy erstellt habe und die Ergebnisse nicht gefiltert habe.

    
Hanson Ho 24.11.2011, 00:19
quelle

1 Antwort

1

Nur raten:

Dies kann mit den Preflight-Anfragen zusammenhängen. Die CORS-Spezifikation (http://www.w3.org/TR/cors/#resource-preflight-requests) besagt, dass der Client in vielen Fällen eine zusätzliche OPTION-Anfrage senden sollte (im Grunde genommen für alles außerhalb eines sehr einfachen GET oder POST). . Das bedeutet, dass Sie auf der Serverseite Ihre eingehenden Anfragen verdoppeln, indem Sie nur CORS zur Verfügung stellen und diese zusätzliche Belastung möglicherweise nicht akzeptabel ist.

    
Sergio Cinos 12.12.2011 06:58
quelle