是否只能仅允许一个网站的CORS,而不能直接允许它?

时间:2018-08-05 01:52:14

标签: security cors

假设我在origin.com有一个Web应用程序。当我浏览origin.com时,它会从datafeed.origin.com请求跨站点数据。我以下是用.htaccess datafeed.origin.com的{​​{1}}写的。到现在为止,一切正常。

我需要保护Header set Access-Control-Allow-Origin origin.com。如何防止该域直接从浏览器或任何其他应用程序浏览。仅当从datafeed.origin.com进行交叉引用时才允许访问。

1 个答案:

答案 0 :(得分:0)

设置Access-Control-Allow-Origin标头时可以指定原点:

Access-Control-Allow-Origin: <origin>[, <origin>]*

来源:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Origin

在查看您的帖子时,您似乎已经完成了此操作,因此跨源请求应该在其他域中失败