php - 允许跨域ajax请求

Question

在我的项目中，我需要允许其他人向我的脚本发送 ajax 请求。所以外部请求可能来自其他网站和域，也可能来自浏览器扩展。
我在我的脚本顶部简单地添加了这两行让他们这样做:

header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST');  

现在我的问题是:我是否遗漏了任何安全注意事项？这个简单的解决方案会带来严重的问题吗？
如果是这样，更好的解决方案是什么？

感谢回复。

Answer 1

如上所述，任何人都可以随时向您的页面发送请求:因此您需要考虑的主要安全问题是验证用户输入并仅显示可供公众使用的信息。但这适用于所有脚本。

您需要关注的两个主要问题(在验证用户输入之后)是:

1. 您可能遇到的问题是用户将信息接收到他们的脚本中。根据浏览器的不同(甚至在同一浏览器的不同版本之间)，存在不同的安全规则来阻止它们取回信息。一个常见的解决方案是将信息返回为“JSONP”，即将返回值包装为可由客户端执行的函数调用。这是一个简单的例子(取自 http://www.geekality.net/2010/06/27/php-how-to-easily-provide-json-and-jsonp/ )。为了进一步锁定它，您可以坚持所有查询都是 JSONP 并拒绝任何不发送回调函数的人。

.

<?php

header('content-type: application/json; charset=utf-8');
$data = array(1, 2, 3, 4, 5, 6, 7, 8, 9);
echo $_GET['callback'] . '('.json_encode($data).')';

?>

1. 有人经常打电话滥用您的服务。解决方案是捕获 IP 地址，如果您从一个 IP 地址收到太多调用，则拒绝。并非万无一失，但这是一个开始。

其他需要注意的因素:

• 您的脚本设置的 cookie 和其他 header 可能会被忽略
• 同样适用于 session