这是我第一次玩PhoneGap,所以我以前从未需要跨源资源共享(CORS)。
默认情况下已被阻止,我在网络中找到的选项要么是黑客攻击,要么是不安全的。 我的问题是:使用PhoneGap完成服务器集成的最佳或正确方法是什么?
请记住:
<access origin="*" />已添加到config.xml中(它使我能够联系服务器,但不保证它会响应跨源请求)在网上进行的长时间搜索引导我:
Access-Control-Allow-Origin *
Access-Control-Allow-Credentials true
但我明白他们是不安全的,特别是结合起来。 我可以在本地保存用户会话ID,但这看起来很麻烦且不安全。
还有救援的JSONP,但这似乎也很麻烦,不安全,不会持久保存我的会话ID。
我可以使用代理服务器,但这似乎远非最佳状态,据我所知,很难防止攻击者不使用相同的代理服务器执行相同的操作。