Почему я не могу получить доступ к данным синхронизации сети без Timing-Allow-Origin в API синхронизации ресурсов

Question

Почему я не могу получить доступ к данным синхронизации сети без Timing-Allow-Origin в API синхронизации ресурсов

Я читаю этот пост об API синхронизации ресурсов и не могу понять причину следующего ограничения:

Ресурсы, получаемые от сторонних производителей, должны предоставлять дополнительный заголовок HTTP (Timing-Allow-Origin: *), чтобы сайт мог собирать подробные данные о времени сети. Если заголовок отсутствует, единственными доступными данными является общая продолжительность запроса.

Хотя я могу легко понять причину блокировки запросов без Access-Control-Allow-Origin заголовок, я изо всех сил пытаюсь понять, почему я не должен получить информацию о времени без Timing-Allow-Origin заголовок.

3

html5 performance resource-timing-api

Источник

user1090562 28 июл '14 в 21:51

1 ответ

Решение

Другие вопросы по тегам html5 performance resource-timing-api

user1090562 28 июл '14 в 22:01 2014-07-28 22:01 · Accepted Answer · 2014-07-28 22:01

После прочтения документа W3C об API синхронизации ресурсов я обнаружил, что они объясняют это в разделе о конфиденциальности и безопасности.

Статистическая дактилоскопия - это проблема конфиденциальности, когда вредоносный веб-сайт может определить, посетил ли пользователь сторонний веб-сайт, измерив время попадания в кэш и пропусков ресурсов на стороннем веб-сайте. Хотя интерфейс PerformanceResourceTiming предоставляет информацию о времени для ресурсов в документе, ограничения по нескольким источникам не позволяют усугубить эту проблему конфиденциальности по сравнению с сегодняшним днем, используя событие загрузки ресурсов для измерения времени для определения попаданий и пропаданий кэша.

По сути, они хотят запретить злоумышленникам проверять, обращался ли пользователь к какой-либо странице ранее.