我正在开发一些供内部使用的东西,风险是,因为我们的员工使用相同的IP,因此他们可以发送休息请求并向数据库中插入一些东西。即使我缩小了脚本,他们也可以转到网络选项卡并查看请求。
这种情况下如何应用cors?
最佳答案
你不能。
同源策略可以阻止您不信任的网站被您信任的人访问,从而阻止您使用访问者的浏览器向您的服务器发出请求并从中窃取数据。
当存在您确实信任数据的第三方网站时,CORS 可以有选择地禁用同源策略。
它们都不能解决您信任的用户可以更改数据库的问题,而只能通过您为他们提供的客户端 UI 来更改数据库。
要解决该问题,您需要更好的服务器端授权逻辑。
举一个简单的例子,如果您有一个 REST API,允许用户通过发送其 ID 来删除评论,那么您还应该要求在请求中包含用户名和密码(或其他形式的身份验证),以便让您知道谁提出请求。一旦您知道是谁提出了请求,您必须检查他们是否有权删除评论。通常,逻辑如下:
if (comment.owner == user || user.has_role("admin")) {
comment.delete();
} else {
response.status.unauthorised();
response.send();
}
关于javascript - 防止同IP的cors,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38918911/