Saya telah ditanya soalan tentang keselamatan CORS semasa temu duga, tetapi saya tidak dapat menjawabnya. Saya ingin meminta nasihat semua orang.
CORS menetapkan Access-Control-Allow-Origin pada bahagian pelayan Jika ia tidak ditetapkan kepada *, bukankah benar bahawa hanya domain yang ditentukan boleh memulakan permintaan Jika tidak, ia akan dipintas oleh penyemak imbas melihat bahawa pengepala http boleh dipalsukan, tetapi tetapan Asal secara manual juga akan disekat oleh penyemak imbas Di manakah kelemahan CORS? Apakah penyelesaiannya? Terima kasih
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
https://developer.mozilla.org... Keserasian Penyemak Imbas
Sebaliknya, saya rasa CORS bersilang dengan JSONP ialah kaedah merentas domain yang lebih selamat, dan ia juga merupakan kaedah merentas domain standard.
Access-Control-Allow-Origin ialah senarai putih domain yang membenarkan permintaan dalam domain ini sahaja pelayan menyatukan permintaan merentas domain Jika senarai putih ditetapkan dengan sewajarnya, serangan CSRF boleh dielakkan.
Saya rasa soalan ini mungkin memerlukan anda mempertimbangkan masalah yang anda hadapi jika Access-Control-Allow-Origin ialah *.
Yang ditetapkan kepada * umumnya adalah API awam Untuk mengelakkan permintaan yang kerap atau DDOS, biasanya terdapat langkah tambahan untuk pengesahan kunci dan kekerapan serta bilangan permintaan adalah terhad.
Selain itu, walaupun CORS tidak menghantar kuki secara lalai, ia boleh dibenarkan dengan menetapkan Access-Control-Allow-Credentials kepada benar, yang mungkin juga membawa kepada risiko serangan CSRF.