我试图找出为什么许多开发人员在其REST API产品中默认禁用CORS?安全是主要关注点吗?从CORS支持的W3C wiki article开始,添加CORS支持看起来相当简单(在服务器上添加标题 Access-Control-Allow-Origin ,值为'*')< / p>
我最近在尝试编写一个简单的仅限javascript的应用程序来访问Azure表和其他Rest API(例如来自Panoptix和ProductWIKI的API)时遇到了问题。他们有一些很棒的REST API但不允许使用CORS。特定于Azure的表具有与其REST API调用相关联的严格认证过程,尽管它不会让CORS(至少暂时)。
我想听听RESTFul API的开发人员和管理员关于为您的API产品启用/禁用CORS的原因吗?安全/流量/兼容性是主要问题还是还有什么呢?
答案 0 :(得分:0)
当我创建Web服务时,我不使用CORS,因为它是默认设置,只有在项目需要公共浏览器访问我们的服务时才添加它。为什么同源策略是默认的是一个不同的问题。我从未见过不允许从其他域访问Ajax的优势。