Um cors domänenübergreifend zu verwenden, muss der Zielserver Ihren Host in Access-Control-Allow-Origin hinzufügen oder Access-Control-Allow-Origin auf * setzen. Wenn der Zielserver ein Dritter ist, erscheint es für ihn unrealistisch, mich hinzuzufügen. Wenn es sich um eine öffentliche API handelt, kann sie nicht hinzugefügt werden. Ist sie in diesem Fall auf * gesetzt? Gibt es Probleme mit XSS-Angriffen, wenn auf * gesetzt ist, um Anfragen von jedem Domänennamen zu akzeptieren?
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
公共Api比如百度Api调接口要用秘钥key。调第三方服务器的接口是要申请加白名单的。。。
安全考虑大部分开放接口都会要求签名验证的。可以看下阿里的开放接口https://market.aliyun.com/data
关注一下,好的问题