2013年12月5日,W3C的Web应用工作组(Web Applications Working Group)和Web应用安全工作组(Web AppSec)联合发布了跨源资源共享(Cross-Origin Resource Sharing)的提案推荐标准(Proposed Recommendation)。该标准定义了在必须访问跨域资源时,浏览器与服务端应该如何沟通,它提供一种机制,允许客户端(如浏览器)对非源站点的资源发出访问请求。所有提供跨源资源请求的API都可以使用本规范中定义的算法。
处于安全性的考虑,用户代理(如浏览器)通常拒绝跨站的访问请求,但这会限制运行在用户代理的Web应用通过Ajax或者其他机制从另一个站点访问资源、获取数据。跨源资源共享(CORS)扩充了这个模型,通过使用自定义的HTTP响应头部(HTTP Response Header),通知浏览器资源可能被哪些跨源站点以何种HTTP方法获得。例如,浏览器在访问 http://example.com 站点的Web应用时,Web应用如果需要跨站访问另一站点的资源 http://hello-world.example,就需要使用该标准。http://hello-world.example 在HTTP的响应头部中定义 Access-Control-Allow-Origin: http://example.org,通知浏览器允许 http://example.org 跨源从 http://hello-world.example上获取资源。
欢迎您在2014 年1月14日前提出对于该标准的意见和建议。关于跨源资源共享的更多信息,请参阅 CORS W3C Wiki。更多信息请参考W3C的安全标准计划(Security Acitivity)和富Web客户端标准计划(Rich Web Client Activity)。我们非常期待听到您的意见。
提案推荐标准是W3C标准制定流程的一个环节,指标准的技术性和可实现性已经经过广泛的审查和验证,W3C正式将标准文本提交给W3C顾问委员会作最后批准。经过批准后,W3C将发布正式的推荐标准(REC)。查看更多征集公众意见的标准草案,请参阅目前正在征求意见的标准草案及文档。
评论已关闭