PHP以编程方式允许/拒绝域

时间:2014-10-07 12:45:32

标签: php security rest

我有这个具有私有和公共API的REST API。所以在代码中我允许和拒绝每个API的请求。我用这段代码:

public function allowDomain($domain) {
    header('Access-Control-Allow-Origin: ' . $domain);
}

经过一些研究后,我不太确定这是否是一种安全的方式(因为欺骗)。这是正确的做法还是还有更多的事情?如果是这样的话?

1 个答案:

答案 0 :(得分:0)

要真正保护您的API(私有部分),您应该使用密钥或令牌。 Access-Control-Allow-Origin仅在客户端,因此出于安全原因,Javscript不会请求API。您仍然可以在浏览器或其他位置访问此API。

请参阅:https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS