widzę, że ustawienie „*” wieloznaczny jest zagrożenie bezpieczeństwa tjEwentualne kwestie bezpieczeństwa ustalania Access-Control-Allow-Origin
Access-Control-Allow-Origin: "*"
Co chciałbym lubił wiedzieć, czy są jakieś zagrożenia bezpieczeństwa w otoczeniu domeny betonu tj.
Access-Control-Allow-Origin: http://www.example.com
Nagłówki CORS są zwykle używane do żądania JavaScript AJAX. Przeglądarki mają wbudowany mechanizm bezpieczeństwa, który nie pozwala na zapytanie do innych domen, chyba że wyraźnie na to zezwala, ustawiając te nagłówki CORS.
Naprawdę nie ma większego ryzyka związanego z bezpieczeństwem. Zawsze możesz wysyłać złośliwe żądania. Przeglądarki po prostu wspólnie decydują się grać ładnie.
Jedno być świadomy jest, że niekoniecznie zawsze chce wysłać nagłówek
Access-Control-Allow-Origin: http://www.example.com
. Może to potencjalnie prowadzić do wszystkich domen korzystających z Twojego interfejsu API. Moja rekomendacja jest taka, że emitujesz tylko nagłówek, jeśli jest to konieczne, tj. otrzymujesz prośbę o wydanie OPTIONS z domeny umieszczonej na białej liście.
napisałem na blogu o tym niedawno: http://fritsvancampen.wordpress.com/2013/02/03/cross-site-origin-requests-aka-cross-origin-resource-sharing/
Dzięki ewentualne problemy przeglądarka Frits van Campen to co ja martwi, jak mówisz i tak daleko, jak widzę, że nie ma się czym martwić. Świetny blog, dzięki jeszcze raz. –