我试图破解我的后端,这暴露了一个REST API。根据firefox CORS策略,我的数据库可能发生的最糟糕的事情是我可以使用POST请求创建一个新对象,因为它不需要预检。这是简单的代码(我通过jsfiddle运行它,但它不应该意味着什么)
var xhttp = new XMLHttpRequest();
xhttp.open("POST", "http://127.0.0.1:8000/api/v1/company", true);
xhttp.withCredentials = true;
xhttp.setRequestHeader('Content-Type', 'text/plain');
xhttp.send('{description:"This company was added by pure hacking"}');
但我在控制台中收到错误:
Blocked loading mixed active content "http://127.0.0.1:8000/api/v1/company"
答案 0 :(得分:0)
错误不是因为SOP,它是混合内容错误,而是在https页面上发出http请求。
jsfiddle默认为https但允许http,但仅限于保存的小提琴。
更改小提琴的网址以使用http而不是https