Pour utiliser cors multi-domaines, le serveur cible doit ajouter votre hôte dans Access-Control-Allow-Origin ou définir Access-Control-Allow-Origin sur *. Si le serveur cible est un tiers, il semble irréaliste qu'il m'ajoute. S'il s'agit d'une API publique, elle ne peut pas être ajoutée. Dans ce cas, est-elle définie sur * ? S'il est défini sur * pour accepter les requêtes de n'importe quel nom de domaine, y aura-t-il un problème avec les attaques XSS ?
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
Les API publiques telles que l'API Baidu nécessitent une clé secrète pour ajuster l'interface. Pour ajuster l'interface d'un serveur tiers, vous devez demander une liste blanche. . .
Pour des raisons de sécurité, la plupart des interfaces ouvertes nécessitent une vérification de signature. Vous pouvez jeter un œil à l’interface ouverte d’Alibaba https://market.aliyun.com/data
Faites attention, bonne question