我正在开发一个Web应用程序,在该应用程序中我必须确保所提供的通过HTTP标头提供的请求的来源是正确的?
假设我希望来自example.com的请求,据我所知,检查请求来源(作为域)的唯一方法是通过提供请求标头提供的槽,我知道我可以控制对服务器槽的访问” Allow-Access-Control-Headers:“ example.com”“标头,但是是什么阻止example2.com放置表明请求来自example.com的原始标头?
答案 0 :(得分:1)
很遗憾,您不能这样做,因为它很容易被伪造。如果您的应用程序要求一流的安全性,那么我建议您研究AUTH令牌