我最近不得不设置Access-Control-Allow-Origin为*,以便能够进行跨子域的ajax调用。现在,我不禁感到自己正在使环境面临安全风险。如果我做错了,请帮助我。
3 回答
潇潇雨雨
TA贡献1833条经验 获得超4个赞
通过使用响应Access-Control-Allow-Origin: *,所请求的资源允许与每个来源共享。基本上,这意味着任何站点都可以向您的站点发送XHR请求并访问服务器的响应,如果您尚未实现此CORS响应,则不会这样。
因此,任何站点都可以代表其访问者向您的站点发出请求并处理其响应。如果您基于浏览器自动提供的内容(例如cookie,基于cookie的会话等)实施了诸如身份验证或授权方案之类的内容,则由第三方站点触发的请求也将使用它们。
这确实带来了安全风险,尤其是如果您不仅允许共享所选资源,还允许共享每个资源的资源,则尤其如此。在这种情况下,您应该看看何时可以安全启用CORS?。
添加回答
举报
0/150
提交
取消