「*」ワイルドカードを設定するとセキュリティ上のリスクがあることがわかりました。
Access-Control-Allow-Origin: "*"
私が知りたいのは、具体的なドメインの設定にセキュリティリスクがあるかどうかです.
Access-Control-Allow-Origin: http://www.example.com
7031 次
1 に答える
8
CORSヘッダーは通常、JavaScriptAJAXリクエストに使用されます。ブラウザには安全メカニズムが組み込まれており、これらのCORSヘッダーを設定して明示的に許可しない限り、他のドメインにクエリを実行することはできません。
セキュリティ上のリスクはそれほど多くありません。とにかく、いつでも悪意のあるリクエストを送信できます。ブラウザは集合的にうまくプレイすることを決定します。
注意すべきことの1つは、必ずしも常に送信する必要はないということです。
Access-Control-Allow-Origin: http://www.example.com
ヘッダ。これにより、APIを使用するすべてのドメインにユーザーが誘導される可能性があります。私の推奨事項は、必要な場合にのみヘッダーを発行することです。OPTIONSホワイトリストに登録されたドメインからリクエストを受け取ります。
私は最近これについてブログ投稿を書きました:http://fritsvancampen.wordpress.com/2013/02/03/cross-site-origin-requests-aka-cross-origin-resource-sharing/
于 2013-02-20T12:03:39.643 に答える