9

すべてではないにしても、ほとんどの oEmbed プロバイダー エンドポイントでは、CORS が有効になっていないようです。つまり、oEmbed を使用するには、JSONP を使用するか (サポートしている場合)、サーバー プロキシを経由する必要があります。

サードパーティ プロバイダーからの JSONP の使用に対する会社のポリシーがありますが、私はまだ純粋にクライアント側の方法で oEmbed を活用したいと考えています (信頼できる特定のプロバイダーに対して)。oEmbed の CONSUMER のセキュリティへの影響と、サードパーティのマークアップをページに直接許可したくない理由を理解していますが、プロバイダーがこれを制限するのはなぜですか? サーバー プロキシを構築し、結果をフィルタリングしなかった場合、XSS の脆弱性が簡単に発生する可能性があります。

4

1 に答える 1

1

推測するだけです:

プリフライト リクエストに関連している可能性があります。CORS 仕様では、クライアントは多くの場合 (基本的に、非常に基本的なまたはOPTION以外の場合) に追加の要求を送信する必要があると述べています。つまり、サーバー側では、CORSを提供するだけで着信要求が 2 倍になり、その余分な負荷は受け入れられない可能性があります。GETPOST

于 2011-12-12T06:58:59.973 に答える