gpt4 book ai didi

php - 有什么安全的方法可以允许跨站点 AJAX 请求吗?

转载 作者:可可西里 更新时间:2023-10-31 23:06:52 28 4
gpt4 key购买 nike

我目前正在开发一个网站所有者可以安装的脚本,该脚本允许用户突出显示一个词并在一个小的弹出式 div 中查看该词的定义。我只是在业余时间做这件事,并无意出售它或其他任何东西,但我希望它是安全的。

当文本被突出显示时,它向我的域发送一个 AJAX 请求到一个 PHP 页面,然后在数据库中查找单词并输出一个包含信息的 div。我知道同源策略禁止我使用普通 AJAX 完成此操作,但我也不能使用 JSONP,因为我需要返回 HTML,而不是 JSON。

我研究过的另一个选项是添加

header("Access-Control-Allow-Origin: *");

到我的 PHP 页面。

由于我在安全方面确实没有太多经验,因为我这样做是出于业余爱好,有人可以向我解释一下使用 Access-Control-Allow-Origin: * 的安全风险吗?还是我应该研究更好的方法来做到这一点?

最佳答案

Cross-Origin Resource Sharing (CORS)Access-Control-Allow-Origin header 字段背后的规范,旨在允许通过 XMLHttpRequest 进行跨域请求。但通过提供一个允许 server to define which cross-origin requests are allowed and which are not 的界面来保护用户免受恶意网站阅读响应.所以 CORS 不仅仅是 Access-Control-Allow-Origin: *,它表示允许来自任何来源的 XHR 请求。

现在回答您的问题:假设您的服务是公开的并且不需要任何身份验证,使用 Access-Control-Allow-Origin: * 允许来自任何来源的 XHR 请求是安全的。但请确保仅在您希望允许该访问策略的那些脚本中发送该 header 字段。

关于php - 有什么安全的方法可以允许跨站点 AJAX 请求吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15853633/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com