前端之家收集整理的这篇文章主要介绍了
html – 防止HTTP基本身份验证显示图像提示,
前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
如果我有来自
页面上不同域的图像,并且该图像受HTTP基本身份验证保护,则浏览器将向
用户显示身份验证对话框,如下所示:
鉴于该网站是一个论坛,因此包含大量用户生成的内容,恶意用户很容易添加这样的图像,然后可能会收集一两个人的登录凭据并输入他们的站点凭据进入对话框.
有没有办法阻止显示凭据提示而不使用图像主机的白名单(不理想,因为它对用户非常严格)或确保图像在允许之前可以访问(可以解决)?
如果您将crossorigin =“anonymous”
属性添加到图像中,它将不再
提示输入凭据,但这也意味着不会发送任何cookie或缓存凭据(在我的情况下这无关紧要).
但请注意,这仅限于使用Access-Control-Allow-Origin标头提供的图像,该标头必须设置为*或页面的原点.如果标题被省略或不正确,则不会渲染图像,而是显示损坏的图像错误.这使得这个解决方案相当无用,但不幸的是似乎没有替代方案.
原文链接:https://www.f2er.com/html/231614.html
