标签: http cors same-origin-policy
我有一个想通过CORS保护的REST服务。客户端应用程序是由 domain.com 提供的,而REST服务是 domain.com/service 。
REST服务根据原始标头或身份验证令牌过滤出请求。这是必需的行为。
当用户为 domain.com 插入本地DNS记录(Windows中的主机文件)并从本地计算机加载恶意代码时,问题就来了。在这种情况下,浏览器将发送带有 Origin 标头设置为 domain.com 的请求。这将绕过我们已进行的原点检查。我们如何处理这个问题?