响应头设置 Access-Control-Allow-Origin 的意义何在?

查看 42|回复 5
作者:raw0xff   
服务端响应头设置 Access-Control-Allow-Origin 貌似只是告诉客户端一个白名单,让客户端自觉建立连接,那如果客户端不自觉呢?服务端是不是还需要对 origin 进行判断来决定是否拒绝访问?那 Access-Control-Allow-Origin 的意义何在?
lisxour   
这些头绝大部分情况下是针对于浏览器的
Quarter   
这个本来就是双端一起努力的结果,所以才好推广官方浏览器,不要用不知道哪里下载的浏览器,以及,如果你自己开发一个浏览器,其实可以绕过很多安全策略的,比如 ssl 证书检测、跨域策略等等
DOLLOR   
1 、标准的 web 浏览器是自觉的,不自觉的浏览器没人敢用。
2 、非必要,但可以。取决于你的网站对安全的需求。
3 、意义是区分资源所有者。
web 是利用域名来区分服务提供商的。
自己网站只能访问自己的接口,自己的接口只能被自己的网站访问,是天经地义的事情。
Puteulanus   
对 origin 进行判断也没用,后端安全的一个原则就是客户端发过来的所有东西都可能是不可信的
cors 头不是用来保证后端安全的,是给后端一个操纵前端(浏览器)行为的 API
codehz   
其实这些限制是保护普通用户的,不然人家在钓鱼网站里弄几个请求(同时带第三方网站的 cookie )把你钱转走了就出大问题了,客户端的话,系统也直接不让你访问其他应用的数据
您需要登录后才可以回帖 登录 | 立即注册

返回顶部