25-07-2013, 06:01 PM
Oui, dans CORS, c'est justement bien fait, ca, je suis d'accord, et dans CORS, oui, c'est une sécurité partagée et non double.
Moi, j'avais compris que tu reprochais à CORS de ne pas demander à serveur 1 d'envoyer un header qui explicite l'autorisation au navigateur d'accéder à serveur 2.
Alors que CORS, justement, fais le contraire en demandant à serveur 2 d'accepter les requêtes de serveur 1. Là, c'est une bonne sécurité partagée et non une sécurité redondante.
La sécurité de CORS est donc bien fichue, mais celle que tu proposes (et que j'ai re-décrite alors avec ces deux tirets) est redondante et inutile car oui, ces deux sécurités décrivent 2 fois la même chose.
Moi, j'avais compris que tu reprochais à CORS de ne pas demander à serveur 1 d'envoyer un header qui explicite l'autorisation au navigateur d'accéder à serveur 2.
Citation :Pourquoi est-ce que ce n'est pas superjeu.com qui indique dans les headers de réponse qu'il autorise des requêtes ajax ou autre à partir vers superjeu-static.fr:8000 et surtout pas vers un autre domaine ?Ca, ce serait le cas que j'ai décrit, de double-sécurité, redondante et inutile.
Alors que CORS, justement, fais le contraire en demandant à serveur 2 d'accepter les requêtes de serveur 1. Là, c'est une bonne sécurité partagée et non une sécurité redondante.
La sécurité de CORS est donc bien fichue, mais celle que tu proposes (et que j'ai re-décrite alors avec ces deux tirets) est redondante et inutile car oui, ces deux sécurités décrivent 2 fois la même chose.