CORS白名单的目的是什么?

时间:2016-11-04 15:48:29

标签: node.js http https cors phishing

我有一个启用了CORS的GraphQL API,我有一系列有效的来源,客户端请求可以向API发出请求。

app.use(cors({
  origin: ["https://example.com"],
  optionsSuccessStatus: 200
}))

阻止起源的真正目的是什么?因为这是一个API,任何服务器都可以直接与此API对话。这实际上只能阻止/限制客户端访问API。

如果真的有一个真正的白名单很重要,我的问题是我应该允许http协议,因为http协议很容易被欺骗/网络钓鱼。

  1. 允许任何来源(*)到启用CORS的API的主要缺点或安全性是什么?
  2. CORS白名单域是否应该支持http来源?

1 个答案:

答案 0 :(得分:0)

要回答第一个问题,当您使用*时,表示您允许任何一个网站向您的API提出请求。

对于第二个问题,请自行判断,但要问自己:

  您的网站上会有很多流量吗?
  为什么有人要访问我的API?
  我是否有可能对自己/公司造成伤害的路线?

相关问题
最新问题