我有这个具有私有和公共API的REST API。所以在代码中我允许和拒绝每个API的请求。我用这段代码:
public function allowDomain($domain) {
header('Access-Control-Allow-Origin: ' . $domain);
}
经过一些研究后,我不太确定这是否是一种安全的方式(因为欺骗)。这是正确的做法还是还有更多的事情?如果是这样的话?
答案 0 :(得分:0)
要真正保护您的API(私有部分),您应该使用密钥或令牌。 Access-Control-Allow-Origin仅在客户端,因此出于安全原因,Javscript不会请求API。您仍然可以在浏览器或其他位置访问此API。
请参阅:https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS