5
我看到设置通配符“*”安全隐患即可能的安全问题访问控制允许来源
Access-Control-Allow-Origin: "*"
我会喜欢知道是否有具体的域设置任何安全隐患即
Access-Control-Allow-Origin: http://www.example.com
我看到设置通配符“*”安全隐患即可能的安全问题访问控制允许来源
Access-Control-Allow-Origin: "*"
我会喜欢知道是否有具体的域设置任何安全隐患即
Access-Control-Allow-Origin: http://www.example.com
CORS头文件通常用于JavaScript AJAX请求。浏览器具有内置的安全机制,除非通过设置这些CORS标头明确允许您查看其他域,否则不允许您查询其他域。
真的没有太大的安全风险。无论如何,您始终可以发送恶意请求。浏览器只是集体决定玩好。
有一点要注意的是,你并不一定总是要发送的
Access-Control-Allow-Origin: http://www.example.com
头。这可能会将人们引向使用您的API的所有域。我的建议是,如果必要的话,你只发出标题,即。您从白名单域获得OPTIONS
请求。
我最近写了一篇博客文章这样:http://fritsvancampen.wordpress.com/2013/02/03/cross-site-origin-requests-aka-cross-origin-resource-sharing/
弗里茨面包车坎彭由于可能的浏览器问题是什么,我很担心,就像你说的,并尽可能我可以看到,是不是要担心。伟大的博客文章,再次感谢。 – 2013-02-20 12:21:49