[英]Is Access-Control-Allow-Origin: * unsafe?
我的應用程序的后端是提供JSON內容的API。 我發現有必要應用以下響應標題,以便它允許來自任何地方的請求:
Access-Control-Allow-Origin: *
這不安全嗎?
您還應該如何創建公共API而不遇到受限的跨域起源策略? 我需要同時允許GET
和POST
請求到我的API端點。
如果要公開您的API,則實際上必須將*
用於Access-Control-Allow-Origin
。 它本質上是不安全的,甚至指定域也可能導致問題,因為對於某些人來說,欺騙Origin標頭會很容易地繞過白名單。
換句話說,使用*
不會比將白名單域安全得多。
相反,您需要確保已采取其他安全措施,以確保根據需要正確授權請求,尤其是寫請求。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.