标签: api rest cors
我有一个结构为SPA + REST后端的网站。我还有许多使用REST端点的移动客户端。截至目前,我正在使用Authorization标题中传递的JWT(即不是cookie)。我的问题是我应该将哪些设置用于CORS以进行此部署? API路由的“启用所有CORS请求”是否安全?允许跨域请求到API端点有哪些安全风险?
Authorization
从我收集的信息来看,公共API通常允许跨域请求。在某些时候,我可能允许(即记录API)其他服务使用我的API端点