2

多くの開発者がRESTAPIオファリングでデフォルトでCORSを無効にしている理由を調べようとしていますか?セキュリティが主な関心事ですか?CORSサポートに関するW3Cwikiの記事から、CORSサポートを追加するのはかなり簡単なようです(サーバーに値'*'のヘッダーAccess-Control-Allow-Originを追加します)

最近、AzureテーブルやPanoptixやProductWIKIなどの他のRest APIにアクセスするための単純なJavaScriptのみのアプリを作成しようとしたときに、問題が発生しました。彼らはいくつかの素晴らしいRESTAPIを持っていましたが、CORSを許可しませんでした。具体的には、Azureテーブルには、REST API呼び出しに関連付けられた厳格な認証プロセスがあり、それにもかかわらず、(少なくとも当面は)CORSを許可しません。

API製品のCORSを有効/無効にする理由について、RESTFul APIの開発者と管理者から聞きたいですか?セキュリティ/トラフィック/互換性が主な関心事ですか、それともそれ以上のものがありますか?

4

1 に答える 1

0

Webサービスを作成するときは、CORSがデフォルト設定であるため省略し、プロジェクトでサービスへのパブリックブラウザーアクセスが必要な場合にのみ追加します。同一生成元ポリシーがデフォルトである理由は別の質問です。他のドメインからのAjaxアクセスを禁止することの利点を見たことがありません。

于 2013-01-11T16:49:00.970 に答える