ajax - 是访问控制允许来源 : * unsafe?

标签 ajax http rest cross-domain cors

我的应用程序的后端是一个提供 JSON 内容的 API。我发现需要应用以下响应 header ,以便它允许来自任何地方的请求:

访问控制允许来源:*

这样不安全吗?

如何在不遇到受限跨域源策略的情况下创建公共(public) API?我需要允许向我的 API 端点发送 GETPOST 请求。

最佳答案

如果您想公开 API,则实际上必须使用 * 来实现 Access-Control-Allow-Origin。它本质上是不安全的,甚至指定域也可能会导致问题,因为无论如何,有人很容易欺骗 Origin header 来绕过您的白名单。

换句话说,使用 * 的安全性并不比白名单域低多少。

相反,您需要确保采取其他安全措施,以确保请求根据需要得到正确授权 - 特别是写入请求。

关于ajax - 是访问控制允许来源 : * unsafe?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21036240/

上一篇:http - 如何在Rebol3中获取HTTP响应头?

下一篇:security - HTTP header 是什么 :host, :method, :path, :scheme, :version used for?

相关文章:

javascript - 使用 Ajax 调用从函数返回值

http - 单页应用程序的简单命令行 http 服务器

java - 有最小消息队列吗?

ruby - 登录 vk.com net::http.post_form

rest - 从 SharePoint 下载文件

java - 如何授权对我的 GAE REST 服务器的请求?

javascript - zurb Foundation 5.2 - 在 postabck 上维护选项卡选择/状态

javascript - 如何调试 jquery AJAX 调用?

ajax - 如何在 jquery 中使 Ajax 每 10 秒更新一次?

RESTful 多次更新(例如 : Clear a Shopping Cart)?

©2024 IT工具网  联系我们