服务器不发送任何CORS头,因此我假设浏览器应该阻止发送到不同域的请求,但它不会发生。我的浏览器具有所有默认设置。我想知道在这种情况下人们如何绕过CORS安全?
正如peeebeee提到的请求来自bb.b.com。整页放在<frame src="http://bb.b.com">元素中。
bb.b.com
<frame src="http://bb.b.com">