我试图了解如何在服务上实现CORS,在这里我使用基本auth接受凭据,并且我需要一些帮助,以了解在浏览文档时看不到明确答案的问题。作为参考,我可以在MDN上找到最清晰的文档:
https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS
我了解,如果我是从连接到foo.example的浏览器发出请求的,则向我发出XHR请求的服务将需要具有某种CORS标头,如下所示:
Access-Control-Allow-Origin: http://foo.example
Access-Control-Allow-Credentials: true
这很酷,但是如果我要建立一个API端点,但不确定我来自哪个来源,那么我就不清楚我是如何接受它们的。
我可以像这样维护标题列表:
Access-Control-Allow-Origin: http://foo.example
Access-Control-Allow-Origin: http://bar.example
Access-Control-Allow-Origin: http://baz.example
但是现在我正在泄漏有关我的用户是谁的信息。
如何在浏览器中公开API以允许此类请求?我知道存在CORS可以省去运行“ shim”服务器来转发请求的麻烦,但是如何做到这一点并不明显。
谢谢
克里斯