我只想接受限制域请求,例如我想接受来自 www.abc.com 和 www.xyz.com 的所有请求,所有其他请求都应被拒绝。我不能从服务器端使用 token 进程,因为多个域使用我的 javascript 代码,所以在这里我们不能考虑服务器端 token ,并且可以从 javascript 操作 HTTP_ADDR。请建议如何验证它是可靠的?
最佳答案
XMLHttpRequest 将插入 an Origin
header进入请求,告诉您请求来自哪个站点。
用它来填充 the Access-Control-Allow-Origin
header .
(显然,这不提供针对非 Ajax 请求的保护)。
关于javascript - 如何保护来自多个域的 ajax 请求?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31049999/