ajax - 我可以“信任”请求源参数吗?
问题描述
假设我的网站是 example.com。在我的服务器上,我有必须仅适用于白名单站点的脚本。我已经设置了这个代码,它只允许来自我的站点的 XHR 请求。
header('Access-Control-Allow-Origin: https://www.example.com')
现在我想知道有人可以更改原始参数并从其他站点发送虚假的 AJAX 请求吗?那么原始参数是否受信任,或者有办法从脚本或浏览器配置或某些第三方服务“覆盖”原始参数示例?
解决方案
CORS 策略在客户端执行;即通过浏览器。
您可以相信他们会努力阻止您的常客使用 CSRF,但没有什么可以阻止某人按照他们的意愿手动向您发送请求。
推荐阅读
- c++ - 在 CLion 中构建 cmake 时找到 GLEW,但在命令行中构建时找不到 GLEW
- python - 创建或 isinstance 的 Python 泛型检查其类型参数
- r - R:预测时间序列的未来值
- x11 - 如何在这个子窗口上放置一个普通的标题栏?
- logging - how to log body with ogma nestjs-module
- c# - 如何解决从 Google Chrome 获取当前标签页 URL 耗时过长的问题?
- go - 如何使用结构获取和存储文档 ID
- reactjs - Material-UI Swipeable Drawer 翻译不流畅
- postgresql - docker 和 nginx:如何反向代理多个 postgresql 数据库
- flutter - Flutter 为 AppBar 设置最大宽度