我看到设置“*”通配符是安全风险,即
Access-Control-Allow-Origin: "*"
我想知道在设置具体域时是否存在任何安全风险,即
Access-Control-Allow-Origin: http://www.example.com
问问题
7031 次
1 回答
8
CORS 标头通常用于 JavaScript AJAX 请求。浏览器有一个内置的安全机制,它不允许您查询其他域,除非它们通过设置这些 CORS 标头明确允许它。
确实没有太大的安全风险。无论如何,您始终可以发送恶意请求。浏览器只是集体决定玩得好。
需要注意的一件事是,您不一定总是想发送
Access-Control-Allow-Origin: http://www.example.com
标题。这可能会将人们引导到使用您的 API 的所有域。我的建议是您只在必要时才发出标头,即。您收到OPTIONS来自白名单域的请求。
我最近写了一篇关于这个的博客文章:http: //fritsvancampen.wordpress.com/2013/02/03/cross-site-origin-requests-aka-cross-origin-resource-sharing/
于 2013-02-20T12:03:39.643 回答