gpt4 book ai didi

javascript - 在 API 上启用 CORS

转载 作者:行者123 更新时间:2023-11-28 00:55:24 25 4
gpt4 key购买 nike

我们目前正在开发一个 API,以允许客户和经销商购买和管理我们的产品。

目前我们没有在服务器上启用 CORS。这会阻止 js(例如 Angularjs)访问 API。

我希望启用这些 header ,以便客户可以通过浏览器中的 js 访问我们的 API。

在通配符上实现 CORS 以允许在本质上是公共(public) API 上实现 CORS 有哪些风险?这是否会使我们的 API 本质上更容易受到滥用或其他什么影响?

Access-Control-Allow-Origin: *

在向我们的老派后端开发人员提出论点时,我还应该考虑什么?谢谢。

最佳答案

给定:

  • Alice,运营网站的人
  • Bob,使用 Alice 网站的人
  • Mallory,一个运行恶意网站的人

如果您使用 CORS 从浏览器启用对 API 的全局访问,则:

如果 Bob 可以被诱骗访问 Mallory 的网站,那么 Mallory 的网站可以指示 Bob 的浏览器从 Alice 的网站获取数据并将其提供给 Mallory 的网站。

如果 Bob 登录到 Alice 的网站,则浏览器将发送验证 Bob 身份所需的任何 cookie。

然后,Mallory 可以访问 Alice 网站上本应属于 Alice 和 Bob 私有(private)的任何数据(例如 Bob 的订单历史记录、医疗记录或 Alice 网站存储的任何其他数据)。

如果通过 API 提供的数据仅包含公共(public)信息,那么使其可在全局范围内访问就没有问题。如果它包含个人数据,那么您需要考虑使用一些辅助身份验证手段。

关于javascript - 在 API 上启用 CORS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26279691/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com