使用特定的交叉原点和放 * 有什么区别?
例如
@CrossOrigin(origins = localhost:8080) or
@CrossOrigin(origins = "*")
如果是 * 是否有任何安全问题?
user16732644
问问题
53 次
1 回答
3
引入 CrossOrigin 是为了防止来自不受信任网站的后台请求。
想象一下场景:
- 您正在浏览:malware.example.com
- 该网站向“DELETE http://facebook.com/my-account”发送后台 HTTP 请求以静默删除您的帐户
如果这真的发生了,你会很生气吗?
这是CORS的主要原因。它可以防止来自非“受信任”来源的 XHR 请求。我鼓励您尽可能使用 CORS 来防止此类灾难的发生。
这是一个简化版本,服务器可能还需要启用 cookie 和标头,因此 Facebook DELETE 才能工作,但是......你明白了
于 2021-08-23T13:46:44.897 回答