为什么我可以显示来自另一个网站的图像,即使它没有 CORS 标头?

问题描述 投票:0回答:1

我正在尝试了解 CORS 和 CSRF。

据我了解,除非网站具有允许跨站点资源共享的 CORS 标头,否则以下内容不起作用:

网站上的 HTML 页面 1. 网站上的图像 2. HTML 页面有一个链接到图像的图像标签。

除非有 CORS 头,浏览器应该阻止 HTML 页面显示图像?我在 chrome 的开发者工具中检查了网络选项卡,图像的响应标头没有任何我能看到的 CORS 标头:

Access-Control-Allow-Origin
Access-Control-Allow-Methods
Access-Control-Allow-Headers

据我所知,以上都没有。

那图像怎么显示出来的?

谢谢

cors http-headers csrf response-headers
1个回答
0
投票

跨源共享标准仅涵盖以下内容:

  • XMLHttpRequest 或 Fetch API 的调用。
  • Web 字体(用于 CSS 中 @font-face 中的跨域字体使用),以便服务器可以部署只能跨源加载并由允许这样做的网站使用的 TrueType 字体。
  • WebGL 纹理。
  • 使用 drawImage() 绘制到画布的图像/视频帧。
  • 来自图像的 CSS 形状。

来源:https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#what_requests_use_cors

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.