簡體 English 中英

是Access-Control-Allow-Origin：*不安全嗎？

[英]Is Access-Control-Allow-Origin: * unsafe?

原文 2014-01-10 04:31:40 9 1 ajax/ http/ rest/ cross-domain/ cors

我的應用程序的后端是提供JSON內容的API。 我發現有必要應用以下響應標題，以便它允許來自任何地方的請求：

Access-Control-Allow-Origin: *

這不安全嗎？

您還應該如何創建公共API而不遇到受限的跨域起源策略？ 我需要同時允許GET和POST請求到我的API端點。

如果要公開您的API，則實際上必須將*用於Access-Control-Allow-Origin 。 它本質上是不安全的，甚至指定域也可能導致問題，因為對於某些人來說，欺騙Origin標頭會很容易地繞過白名單。

換句話說，使用*不會比將白名單域安全得多。

相反，您需要確保已采取其他安全措施，以確保根據需要正確授權請求，尤其是寫請求。

Access-Control-Allow-Origin 不允許 Origin

[英]Origin is not allowed by Access-Control-Allow-Origin

[英]Origin is not allowed by Access-Control-Allow-Origin

[英]$.post No 'Access-Control-Allow-Origin' header

[英]webapp2 and the Access-Control-Allow-Origin

[英]Access-Control-Allow-Origin is not recognized by Chrome

[英]AJAX Access-Control-Allow-Origin

[英]Setting Access-Control-Allow-Origin

[英]Access-Control-Allow-Origin - localhost

[英]MVC Access-Control-Allow-Origin

[英]XMLHttpRequest is not allowed by Access-Control-Allow-Origin

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Access-Control-Allow-Origin 不允許 Origin Access-Control-Allow-Origin不允許起源 $ .post沒有'Access-Control-Allow-Origin'標頭 webapp2和Access-Control-Allow-Origin Chrome無法識別Access-Control-Allow-Origin AJAX訪問控制允許來源設置訪問控制允許來源 Access-Control-Allow-Origin - localhost MVC訪問控制允許原點 Access-Control-Allow-Origin 不允許 XMLHttpRequest

相關標簽