我可以 "trust" 请求 origin 参数吗?
Can I "trust" request origin parameter?
假设我的网站是 example.com。在我的服务器上,我有必须只适用于白名单网站的脚本。我已经设置了此代码,它只允许来自我的站点的 XHR 请求。
header('Access-Control-Allow-Origin: https://www.example.com')
现在我想知道是否有人可以更改 origin 参数并从其他站点发送伪造的 AJAX 请求?
那么原始参数是否可信,或者有一种方法可以从脚本或浏览器配置或某些第三方服务中 "override" 原始参数示例?
CORS 策略在客户端强制执行;即通过浏览器。
您可以相信他们会努力防止您的普通访问者发生 CSRF,但是没有什么可以阻止有人按照他们的意愿手动向您发送请求。
假设我的网站是 example.com。在我的服务器上,我有必须只适用于白名单网站的脚本。我已经设置了此代码,它只允许来自我的站点的 XHR 请求。
header('Access-Control-Allow-Origin: https://www.example.com')
现在我想知道是否有人可以更改 origin 参数并从其他站点发送伪造的 AJAX 请求? 那么原始参数是否可信,或者有一种方法可以从脚本或浏览器配置或某些第三方服务中 "override" 原始参数示例?
CORS 策略在客户端强制执行;即通过浏览器。
您可以相信他们会努力防止您的普通访问者发生 CSRF,但是没有什么可以阻止有人按照他们的意愿手动向您发送请求。