Кроссдоменный запрос с использованием credentials

bumblebeee · October 24, 2017

Возможно ли отправить кросс-доменный запрос на страницу с <allow-access-from domain="*"/> и использованием кредов пользователя (пользователь залогинен на сайте, во второй вкладке открывает страницу со скриптом, скрипт получает данные с того сайта и куда-нибудь отправляет =)?

На запрашиваемом сайте в crossdomain.xml:

<cross-domain-policy>
<allow-access-from domain="*"/>
<site-control permitted-cross-domain-policies="master-only"/>
<allow-http-request-headers-from domain="*" headers="*"/>
</cross-domain-policy>

Получаю такую ошибку:

Цитата

XMLHttpRequest cannot load https://***.ru/user/. The value of the 'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' when the request's credentials mode is 'include'. Origin 'http://***' is therefore not allowed access. The credentials mode of requests initiated by the XMLHttpRequest is controlled by the withCredentials attribute.

В целях безопасности, это сделали невозможно? Просто в F12-Network вижу, что responce то есть, а вот alert его не выводит, пишет Ошибка 0.

Сам код:

<!DOCTYPE HTML>
<html>
<body>
 	<p>Body</p>
 	<script>
		var XHR = ("onload" in new XMLHttpRequest()) ? XMLHttpRequest : XDomainRequest;
		var xhr = new XHR();
		xhr.withCredentials = true;
		xhr.open('GET', 'https://***.ru/user/', true);
		xhr.onload = function() {
			alert( this.responseText );
			}
		xhr.onerror = function() {
			alert( 'Ошибка ' + this.status );
		}
		xhr.send();
	</script>
</body>
</html>

Возможно ли это обойти?

Какие браузеры и какие версии не поддерживают данную безопасность?

Edited October 24, 2017 by bumblebeee

Sign In

Кроссдоменный запрос с использованием credentials

Question

bumblebeee

Link to comment

Share on other sites

0 answers to this question

Recommended Posts

Join the conversation

Обсуждения

Forums

Important Information