javascript - 使用 cookie 的 Cors 安全性
问题描述
我需要在用户和我的服务器(node.js)之间发送 cookie,对于使用来自浏览器的 http 请求,我需要将标头Access-Control-Allow-Origin设置为值“*”(允许所有),并且对于使用 cookie,我需要发送来自用户的请求,带有查询参数:withCredentials: true并发送带有标头Access-Control-Allow-Credentials 的响应为true ,但要使用此标头,我需要在标头Access-Control-Allow-Origin中设置确切的协议 + 域 + 端口。购买,如果这个应用程序面向所有人,我如何使用确切的域和端口。
我需要做什么才能正常工作?
解决方案
您可以读取Origin
请求标头(由浏览器自动添加)并将其值作为值回显Access-Control-Allow-Origin
。
您确实需要非常小心,以确保您使用 cookie 的方式不会让恶意第三方网站在您的用户访问他们的网站时给您或您的用户造成问题(该网站已获得 CORS 的访问权限)您的网站与凭据)。
推荐阅读
- html - 如何向已经存在的对象添加按钮?
- javascript - 如何在 HTML 网页上同步多个动画 PNG 图像?
- vb.net - 如何在手动关闭一个面板时自动关闭另一个面板
- laravel - Laravel API 资源:基于用户角色的不同返回
- python - 如果我将 dropna 更改为 True/False 会发生什么
- java - 如何获取每两个字节交换的文件内容流?
- aws-amplify - 恢复 AWS Appsync 架构的先前实例
- mongodb - 如何解决在 mongodb 中对不可变字段执行更新
- xml - 如何修改 XSD 架构以执行特定的 xquery
- javascript - 根据包含对象的数组修改包含数组的对象