ruby-on-rails - 有什么危害* 在 CORS 配置中?
问题描述
我有一个使用 ActiveStorage/S3 管理附件的 Rails 应用程序。其中一些需要在我的客户端下载和执行的附件是 .js 文件。
当我最初尝试下载这些资产时,我遇到了一个与 CORS 相关的错误,我通过将 CORS 配置添加到我的 S3 存储桶来解决这个问题,按照这个答案。
配置包括线路
<AllowedOrigin>*</AllowedOrigin>
这条线让我有些紧张。我想将资产保密。它们位于无法公开访问的存储桶中,并且我的 rails 应用程序的用户必须经过身份验证才能重定向到它们。
在 CORS 配置的上下文中,我不清楚这条线的确切含义。它会损害我的附件的安全性吗?命名一个特定的来源,而不是允许所有来源,会使我的附件更安全吗?
解决方案
推荐阅读
- c# - 在始终加密的列值上使用 ToLower() 的 Linq 查询返回错误
- amazon-iam - 可以连接到 Code Commit SSH 但权限被拒绝 git clone
- c# - 获取服务主体对象的访问令牌的正确方法是什么?
- stata - 我正在尝试将写为 '11jun1965' 的出生年份转换为 Stata 中的年龄变量。使用以下代码,我无法生成当前年龄
- javascript - 将字符串更改为不同的字符串
- mongodb - 为什么我的 MongDB 无法访问数据?
- nginx - CentO 上的 Laravel 权限
- python - 如何使用 pytrends 获得谷歌趋势的平均输出?
- vue.js - 如果数据在分配给状态之前被修改,则绑定到数组的多个复选框会失去反应性
- sql - 如何通过词库在 SQL Server 中进行全文搜索得到想要的结果?