我的应用程序的后端是一个提供JSON内容的API。我发现需要应用以下响应标头,以便它允许来自任何地方的请求:
Access-Control-Allow-Origin: *
这不安全吗?
如何在不进入受限制的跨域原始策略的情况下创建公共API?我需要同时向我的API端点发出GET和POST个请求。
答案 0 :(得分:4)
如果您想公开您的API,则* Access-Control-Allow-Origin几乎是必需的。它本质上是不安全的,甚至指定域也可能导致问题,因为无论如何,欺骗Origin标头绕过你的白名单很简单。
换句话说,使用*并不比白名单网站安全得多。
相反,您需要确保已采取其他安全措施,以确保根据需要正确授权请求 - 尤其是写请求。