我们可以在生产中使用 CrossOrigin *(通配符)吗
Can we use CrossOrigin * (wildcard) in production
使用特定交叉原点和输入 * 有什么区别?
例如
@CrossOrigin(origins = localhost:8080) or
@CrossOrigin(origins = "*")
如果是 * 是否有任何安全问题?
引入 CrossOrigin 是为了防止来自不受信任网站的后台请求。
想象一下场景:
- 您正在浏览:malicious.example.com
- 该网站向“DELETE http://facebook.com/my-account" 发送后台 HTTP 请求以静默删除您的帐户
如果这真的发生了,你会很生气吧?
这是 CORS 的主要原因。它可以防止来自非“受信任”来源的 XHR 请求。我鼓励您尽可能使用 CORS 来防止此类灾难的发生。
这是一个简化版本,服务器可能还需要启用 cookie 和 headers,Facebook DELETE 才能正常工作,但是...你明白了
使用特定交叉原点和输入 * 有什么区别?
例如
@CrossOrigin(origins = localhost:8080) or
@CrossOrigin(origins = "*")
如果是 * 是否有任何安全问题?
引入 CrossOrigin 是为了防止来自不受信任网站的后台请求。
想象一下场景:
- 您正在浏览:malicious.example.com
- 该网站向“DELETE http://facebook.com/my-account" 发送后台 HTTP 请求以静默删除您的帐户
如果这真的发生了,你会很生气吧?
这是 CORS 的主要原因。它可以防止来自非“受信任”来源的 XHR 请求。我鼓励您尽可能使用 CORS 来防止此类灾难的发生。
这是一个简化版本,服务器可能还需要启用 cookie 和 headers,Facebook DELETE 才能正常工作,但是...你明白了