javascript - 使用标头Access-Control-Request-Headers的值设置Access-Control-Allow-Headers是否安全？

使用标头Access-Control-Request-Headers的值设置Access-Control-Allow-Headers是否安全？

时间：2018-11-12 03:58:28

标签： javascript security cors http-headers

我在某些koa cors中间件中发现了一些用于设置Access-Control-Allow-Headers的代码，如下所示：

if (options.allowHeaders) {
    ctx.set('Access-Control-Allow-Headers', options.allowHeaders.join(','));
} else {
    ctx.set('Access-Control-Allow-Headers', ctx.get('Access-Control-Request-Headers'));
}

我有一个问题，如果可以安全地将Access-Control-Request-Headers的值用于Access-Control-Allow-Header，或者我可能误解了Access-Control-Request-Header的用法。 / p>

0 个答案:

没有答案

Access-Control-Allow-Headers标头的重点是什么
请求标头字段Access-Control-Allow-Origin不允许使用Access-Control-Allow-Origin
$ http.post请求标头字段Access-Control-Allow-Headers错误不允许使用Access-Control-Allow-Origin
Access-Control-Allow-Headers不允许请求标头字段Access-Control-Allow-Headers
请求标头字段Access-Control-Allow-Headers在预检响应中不允许使用Access-Control-Allow-Headers
预检响应中的Access-Control-Allow-Headers不允许使用Angularjs Request头字段Access-Control-Allow-Headers
Access-Control-Allow-Headers不允许AngularJS请求访问控制允许标头
Access-Control-Allow-Headers不允许请求标头字段缓存控制
请求CSRF +访问控制允许标头
使用标头Access-Control-Request-Headers的值设置Access-Control-Allow-Headers是否安全？

我写了这段代码，但我无法理解我的错误
我无法从一个代码实例的列表中删除 None 值，但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场？
是否有可能使 loadstring 不可能等于打印？卢阿
java中的random.expovariate()
Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
为什么我的 Onclick 箭头功能在 React 中不起作用？
在此代码中是否有使用“this”的替代方法？
在 SQL Server 和 PostgreSQL 上查询，我如何从第一个表获得第二个表的可视化
每千个数字得到
更新了城市边界 KML 文件的来源？