3
私はバックエンドをハックしようとしていますが、これはREST APIを公開しています。 FirefoxのCORSポリシーに従ってデータベースに起こりうる最悪の事は、プリフライトを必要としないので、POSTリクエストで新しいオブジェクトを作成できるということです。これは、単純なコードです(私はjsfiddleを経由して、それを実行しているんだけど、それは事を意味するものではありません)シンプルなCORSは機能しません(それは必要です)
var xhttp = new XMLHttpRequest();
xhttp.open("POST", "http://127.0.0.1:8000/api/v1/company", true);
xhttp.withCredentials = true;
xhttp.setRequestHeader('Content-Type', 'text/plain');
xhttp.send('{description:"This company was added by pure hacking"}');
しかし、私は、コンソールにエラーを取得しています:
Blocked loading mixed active content "http://127.0.0.1:8000/api/v1/company"
はjsFiddleはそれが' httpsのないコンテンツをロードしないことを意味しており、SSLを使用しています。 localhostに接続しているときには、代わりにローカルWebサーバーを使用する必要があります。 – adeneo
より良いテストは、カール要求を使用することです。 curl -H "Content-Type:application/json" -X POST -d '{description: "この会社は純粋なハッキングによって追加されました"}' http://127.0.0.1:8000/api/v1/companyあなたのローカルホストではなく、外向きではないことは非常に有用ではありません... –
しかし、 'curl'はブラウザでクッキーを転送することはできません。それはすべてのユーザーのクッキー(csrf)についてです – Adam