我只是不想检查我没有在这里忽略一些东西......
如果我设置access-control-origin: *并且不允许基于会话的身份验证,那么当使用访问令牌请求私有数据时,我可以安全地提供私有数据,对吧?我什至可以允许发布请求。只要给出有效的访问令牌,我就想不出任何方法来攻击这样的系统。
这里有洞吗?
问问题
67 次
我只是不想检查我没有在这里忽略一些东西......
如果我设置access-control-origin: *并且不允许基于会话的身份验证,那么当使用访问令牌请求私有数据时,我可以安全地提供私有数据,对吧?我什至可以允许发布请求。只要给出有效的访问令牌,我就想不出任何方法来攻击这样的系统。
这里有洞吗?