我最近一直使用JavaScript将我的电子邮件的RSS和短语写成一个整洁的小应用程序,我甚至在我的本地服务器上设置了一些测试并完成了一些Cross来源(localhost和本地IP等)。 )试验看看能做些什么。
然而,当我第一次尝试它时,我忘了发送一个原始标题,这让我很奇怪,为什么。我没有看到原因为什么不为每个页面发送一个交叉原始标题,尽管如此,它似乎是浪费带宽。所以,我应该何时(或其他人)避免使用:
header("access-control-allow-origin: *")
答案 0 :(得分:1)
简短的回答是,在某些情况下,它还会让坏人“伪造”他们在您的服务器上是本地的。安全编码可以阻止坏人使用的大多数方法 - 你基本上只是让门解锁但仍然设置警报。