我的应用程序的后端是一个提供 JSON 内容的 API。我发现需要应用以下响应 header ,以便它允许来自任何地方的请求:
访问控制允许来源:*
这样不安全吗?
如何在不遇到受限跨域源策略的情况下创建公共(public) API?我需要允许向我的 API 端点发送 GET
和 POST
请求。
最佳答案
如果您想公开 API,则实际上必须使用 *
来实现 Access-Control-Allow-Origin
。它本质上是不安全的,甚至指定域也可能会导致问题,因为无论如何,有人很容易欺骗 Origin header 来绕过您的白名单。
换句话说,使用 *
的安全性并不比白名单域低多少。
相反,您需要确保采取其他安全措施,以确保请求根据需要得到正确授权 - 特别是写入请求。
关于ajax - 是访问控制允许来源 : * unsafe?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21036240/