使用標頭“ origin”驗證HTTP請求
[英]validate HTTP requests with header “origin”
問題描述
- 我在https://domain1.com中有一個REST API
- 我只想接受來自https://domain2.com的請求
問題,我可以依靠“ origin”標頭僅接受來自https://domain2.com的請求嗎?
請注意,兩個網站均受SSL保護
就像這樣:
$headers = getallheaders();
if($headers['origin'] != 'https://domain2.com'){
return FALSE;
}
1 個解決方案
解決方案1
2 已采納 2016-04-10 17:05:02
依賴Origin頭類似於依賴Cookie。 行為良好的客戶端(例如瀏覽器)將使用正確的值發送該客戶端。 攻擊者只會將其欺騙到所需的任何價值,以使您的服務正常工作。
您可以將其用作阻止某人直接從瀏覽器使用其站點上的API的方法。 您不能使用它來阻止某人通過代理使用您的API或直接訪問它來下載數據。
跨域 XMLHttpRequest、Access-Control-Allow-Origin 標頭和 $_SERVER['HTTP_ORIGIN']
[英]Cross-domain XMLHttpRequest, Access-Control-Allow-Origin header and $_SERVER['HTTP_ORIGIN']
php api rest甚至不使用標頭('Access-Control-Allow-Origin:*')也不接受cors請求;
[英]php api rest does not accept cors requests even using header ('Access-Control-Allow-Origin: *');
即使來自同一域的其他請求正在運行,也沒有“ Access-Control-Allow-Origin”標頭
[英]No 'Access-Control-Allow-Origin' header even thou other requests from the same domain are working
Cordova AngularJS $ http.post瀏覽器CORS問題-“所請求的資源上沒有'Access-Control-Allow-Origin'標頭。 起源”
[英]Cordova AngularJS $http.post Browser CORS Issue - “No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin”
所請求的資源上沒有“ Access-Control-Allow-Origin”標頭。 因此,不允許訪問來源“ http:// localhost:4200”
[英]No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:4200' is therefore not allowed access
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
跨源$ http請求| 資源
顯示為HTTP請求制作的PHP的確切標頭?
HTTP_ORIGIN標頭未通過jquery ajax發送
跨域 XMLHttpRequest、Access-Control-Allow-Origin 標頭和 $_SERVER['HTTP_ORIGIN']
驗證由iOS發送的PHP中的自定義HTTP標頭
修改PHP / SOAP代碼以在所有請求中添加HTTP標頭
php api rest甚至不使用標頭('Access-Control-Allow-Origin:*')也不接受cors請求;
即使來自同一域的其他請求正在運行,也沒有“ Access-Control-Allow-Origin”標頭
Cordova AngularJS $ http.post瀏覽器CORS問題-“所請求的資源上沒有'Access-Control-Allow-Origin'標頭。 起源”
所請求的資源上沒有“ Access-Control-Allow-Origin”標頭。 因此,不允許訪問來源“ http:// localhost:4200”
相關標簽