方案如下。 我有域example.com。 在它下面我有一个API REST服务器(example.com:400)和一个SPA AngularJS(example.com:443),它运行在不同的服务器(不同的端口)但是同一个域,并且都使用SSL,因此没有直接的连接在API REST和这个Angular应用程序之间。 Angular应用程序使用AJAX从同一域中的API获取资源。 要对用户进行身份验证,我使用基于令牌的方法,因此在登录成功时我会获得访问令牌。 我用这种方法发现的问题如下。 我希望所有与API REST的交互都是通过这个AngularApp进行的,但没有什么能阻止合法用户启动Curl来访问API然后进行DoS攻击。 人们在一体化应用程序中做的一种方法是使用框架并在一个地方完成所有逻辑(Laravel,Ruby on Rails),在表单中使用CSRF令牌。问题是,当您解耦客户端和API服务器时,您无法创建此CSRF令牌。 可能有一些CORS的解决方案吗?