Понимание XMLHttpRequest через CORS (responseText)
Для проекта я смотрю на различные элементы HTML5 и Javascript и безопасность вокруг них, и сейчас пытаюсь разобраться в CORS.
На основании моего тестирования, если я удалю ..
<?php
header("Access-Control-Allow-Origin: *");
header('Access-Control-Allow-Methods: GET, POST, OPTIONS');
?>
... со страницы, к которой пытаются получить доступ, я вижу следующее в журнале консоли в Chrome:
XMLHttpRequest cannot load http://www.bla.com/index.php. Origin http://bla2.com is not allowed by Access-Control-Allow-Origin.
Я понимаю, что это правильно, однако Wireshark показывает HTTP / 1.1 200 OK в ответе и в данных показывает источник запрашиваемой страницы. Так это только браузер и Javascript, который блокирует использование responseText каким-либо существенным способом, даже если он фактически передан?
Код такой же, как показано ниже:
function makeXMLRequest() {
xmlhttp=new XMLHttpRequest();
xmlhttp.onreadystatechange = function() {
if (xmlhttp.readyState==4) {
alert(xmlhttp.responseText);
}
}
xmlhttp.open("GET","http://www.bla.com/index.php",true);
xmlhttp.send();
}
Заранее спасибо.