使用特定交叉原点和放置 * 有什么区别?
例如
@CrossOrigin(origins = localhost:8080) or
@CrossOrigin(origins = "*")
如果是 * 是否有任何安全问题?
最佳答案
引入 CrossOrigin 是为了防止来自不受信任网站的后台请求。
想象一下这个场景:
- 您正在浏览:malicious.example.com
- 该网站向“DELETE http://facebook.com/my-account"”发送后台 HTTP 请求以静默删除您的帐户
如果这真的发生了,你会很生气吗?
这是 CORS 的主要原因。它可以防止来自非“受信任”来源的 XHR 请求。我鼓励您尽可能使用 CORS 来防止此类灾难的发生。
这是一个简化版本,服务器可能还需要启用 cookie 和 header ,因此 Facebook DELETE 才能正常工作,但是......你明白了
关于java - 我们可以在生产中使用 CrossOrigin *(通配符)吗,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/68893666/