webui-aria2是一个允许从浏览器通过 rpc 方法控制 aria2(强大的下载工具)的工具。
使用http://ziahamza.github.io/webui-aria2/ ,只要使用 --enable-rpc
选项启动应用程序,就可以控制 aria2。 aria2 基本上启动了一个监听 localhost:6800
的 HTTP 服务器。
很好,但令我惊讶的是浏览器(webkit 和 gecko)允许 github.io 上托管的页面向本地主机发出请求。怎么会这样呢?这不是一个严重的漏洞吗?
最佳答案
从 github.io
向 localhost
发出的请求将被像任何其他跨源请求一样对待。
嵌入在网站上的 JavaScript 无法跨源读取数据,除非:
- 通过 CORS 给予明确许可或
- 使用了诸如 JSONP 之类的 hack
大概服务器使用了其中一种技术。
关于javascript - 为什么通过 JavaScript 从浏览器向本地主机发出的请求不会被阻止?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32403748/