5
我看到设置通配符“*”安全隐患即可能的安全问题访问控制允许来源
Access-Control-Allow-Origin: "*"
我会喜欢知道是否有具体的域设置任何安全隐患即
Access-Control-Allow-Origin: http://www.example.com
A
回答
7
CORS头文件通常用于JavaScript AJAX请求。浏览器具有内置的安全机制,除非通过设置这些CORS标头明确允许您查看其他域,否则不允许您查询其他域。
真的没有太大的安全风险。无论如何,您始终可以发送恶意请求。浏览器只是集体决定玩好。
有一点要注意的是,你并不一定总是要发送的
Access-Control-Allow-Origin: http://www.example.com
头。这可能会将人们引向使用您的API的所有域。我的建议是,如果必要的话,你只发出标题,即。您从白名单域获得OPTIONS请求。
我最近写了一篇博客文章这样:http://fritsvancampen.wordpress.com/2013/02/03/cross-site-origin-requests-aka-cross-origin-resource-sharing/
相关问题
- 1. 访问控制允许来源问题
- 2. 访问控制 - 允许来源不允许访问控制 - 允许来源
- 3. 访问 - 控制 - 允许来源不允许访问 - >来源*
- 4. 访问控制 - 允许来源不允许访问源URL
- 5. Socket.io跨域问题 - 访问控制 - 允许来源不允许来源
- 6. 访问控制 - 允许来源不允许访问http:// localhost
- 7. 访问控制 - 允许来源不允许访问原因
- 8. PHP来源是不允许的访问控制允许来源
- 9. 访问控制 - 允许来源的HTTP DELETE不允许来源
- 10. PHP安全,访问控制允许来源:*
- 11. 访问控制 - 允许来源不允许来源
- 12. 设置访问控制允许来源
- 13. IOS9 WKWebView访问控制 - 允许来源
- 14. XMLHTTPRequest访问控制 - 允许来源
- 15. 访问控制允许来源htaccess
- 16. Angularjs访问控制允许来源
- 17. 离子,访问控制允许来源
- 18. Ionic - 访问控制 - 允许来源
- 19. 否“访问控制允许来源”头
- 20. ReactJS否'访问控制 - 允许来源'
- 21. 否“访问控制允许来源”
- 22. 访问控制允许来源错误
- 23. 贝宝访问控制允许来源
- 24. 访问控制允许来源在同一个域的问题
- 25. 无“访问控制允许来源”的问题,同时部署
- 26. 角CORS“访问控制允许来源”的问题
- 27. 访问控制允许来源问题和角$ http服务
- 28. 离子奇怪'访问控制允许来源'问题
- 29. 访问控制允许来源问题与API
- 30. Steam API访问控制 - 允许来源问题
弗里茨面包车坎彭由于可能的浏览器问题是什么,我很担心,就像你说的,并尽可能我可以看到,是不是要担心。伟大的博客文章,再次感谢。 – 2013-02-20 12:21:49