我正在开发内部使用的东西,风险是,因为我们的员工使用相同的ip,因此他们可以发送休息请求并在数据库中插入一些内容。即使我缩小了我的脚本,他们也可以转到网络标签并查看请求。
在这种情况下如何申请cors?
答案 0 :(得分:2)
你不能。
同源政策可以阻止您信任的人访问您不信任的网站,使用访问者的浏览器向您的服务器发出请求并从中窃取数据。
当您 信任该数据的第三方网站时,CORS会有选择地禁用同源政策。
它们都没有解决您信任的用户更改数据库的问题,而只能通过您提供的客户端UI解决问题。
要解决该问题,您需要更好的服务器端授权逻辑。
举一个简单的例子,如果你有一个REST API允许用户通过发送其ID来删除评论,那么你还应该要求一个用户名和密码(或其他形式的认证)包含在请求中您知道谁正在发出请求。一旦您知道谁在提出请求,您必须检查他们是否有权删除评论。通常,这将是逻辑:
if (comment.owner == user || user.has_role("admin")) {
comment.delete();
} else {
response.status.unauthorised();
response.send();
}