我有一个后端服务器,我配置了CORS过滤器,允许我的前端服务器访问后端公共API。现在我想开始开发移动应用程序,它也将与后端服务器进行通信,但我不能简单地将所有来源都放在我的cors过滤器中。我应该将Access-Control-Allow-Origin设置为*?如果是这样,它会足够安全吗?我不会保留用户会话,但每次请求都会发送jwt令牌。
答案 0 :(得分:0)
如果您正在开发自己的移动应用程序,那么您无需在后端更改任何CORS设置。将Access-Control-Allow-Origin设置为通配符即*会使其非常不安全,因为所有网站都可以从您的网站访问公共API。不同浏览器(如Chrome,Firefox,Opera等)使用Access-Control-Allow-Origin来验证是否允许从后端访问API的前端访问内容。只有当您的API和您的前端位于两个不同的域或子域上时,才会进行此检查。例如,foo.com前端正在尝试访问bar.com中的内容,那么您的后端Access-Control-Allow-Origin需要设置为foo.com。