所以我遇到了一个问题。我正在构建一个javacript文件,它将iframe附加到客户端页面(在div中)。可以说,这个iframe是从http://example.com/iframe加载的。 iframe的后端模块(用于处理表单提交;在春季编写)有一些端点,如http://example.com/url1,http://example.com/url2
现在,我希望只有iframe能够与后端API通信。目前,我也可以从localmachine获取iframe后端API。
我遇到过referer HTTP字段,最初计划在API上设置一个referer过滤器,但后来发现这很容易被欺骗。我是否会在API上获得任何有利的CORS标头并将原点设置为http://example.com?它会起作用,如果是的话,这是一个安全可靠的解决方案吗?还有更好的选择吗?