5
我看到設置通配符「*」安全隱患即可能的安全問題訪問控制允許來源
Access-Control-Allow-Origin: "*"
我會喜歡知道是否有具體的域設置任何安全隱患即
Access-Control-Allow-Origin: http://www.example.com
A
回答
7
CORS頭文件通常用於JavaScript AJAX請求。瀏覽器具有內置的安全機制,除非通過設置這些CORS標頭明確允許您查看其他域,否則不允許您查詢其他域。
真的沒有太大的安全風險。無論如何,您始終可以發送惡意請求。瀏覽器只是集體決定玩好。
有一點要注意的是,你並不一定總是要發送的
Access-Control-Allow-Origin: http://www.example.com
頭。這可能會將人們引向使用您的API的所有域。我的建議是,如果必要的話,你只發出標題,即。您從白名單域獲得OPTIONS請求。
我最近寫了一篇博客文章這樣:http://fritsvancampen.wordpress.com/2013/02/03/cross-site-origin-requests-aka-cross-origin-resource-sharing/
相關問題
- 1. 訪問控制允許來源問題
- 2. 訪問控制 - 允許來源不允許訪問控制 - 允許來源
- 3. 訪問 - 控制 - 允許來源不允許訪問 - >來源*
- 4. 訪問控制 - 允許來源不允許訪問源URL
- 5. Socket.io跨域問題 - 訪問控制 - 允許來源不允許來源
- 6. 訪問控制 - 允許來源不允許訪問http:// localhost
- 7. 訪問控制 - 允許來源不允許訪問原因
- 8. PHP來源是不允許的訪問控制允許來源
- 9. 訪問控制 - 允許來源的HTTP DELETE不允許來源
- 10. PHP安全,訪問控制允許來源:*
- 11. 訪問控制 - 允許來源不允許來源
- 12. 設置訪問控制允許來源
- 13. IOS9 WKWebView訪問控制 - 允許來源
- 14. XMLHTTPRequest訪問控制 - 允許來源
- 15. 訪問控制允許來源htaccess
- 16. Angularjs訪問控制允許來源
- 17. 離子,訪問控制允許來源
- 18. Ionic - 訪問控制 - 允許來源
- 19. 否「訪問控制允許來源」頭
- 20. ReactJS否'訪問控制 - 允許來源'
- 21. 否「訪問控制允許來源」
- 22. 訪問控制允許來源錯誤
- 23. 貝寶訪問控制允許來源
- 24. 訪問控制允許來源在同一個域的問題
- 25. 無「訪問控制允許來源」的問題,同時部署
- 26. 角CORS「訪問控制允許來源」的問題
- 27. 訪問控制允許來源問題和角$ http服務
- 28. 離子奇怪'訪問控制允許來源'問題
- 29. 訪問控制允許來源問題與API
- 30. Steam API訪問控制 - 允許來源問題
弗裏茨麪包車坎彭由於可能的瀏覽器問題是什麼,我很擔心,就像你說的,並儘可能我可以看到,是不是要擔心。偉大的博客文章,再次感謝。 – 2013-02-20 12:21:49