我目前正在开发一个网站所有者可以安装的脚本,它允许用户突出显示一个单词,并在一个小的弹出div中查看该单词的定义.我只是在业余时间做这个业余爱好而无意出售它或任何东西,但我仍希望它是安全的.
当文本突出显示时,它向我的域发送一个AJAX请求到一个PHP页面,然后在数据库中查找该单词并输出包含该信息的div.据我所知,同源策略禁止我使用普通的AJAX完成此操作,但我也不能使用JSONP,因为我需要返回HTML,而不是JSON.
header("Access-Control-Allow-Origin: *");
由于我真的没有太多的安全经验,因为我这样做是一种爱好,有人可以向我解释使用Access-Control-Allow-Origin的安全风险:*?
或者我有更好的方法来做这件事吗?
解决方法:
Cross-Origin Resource Sharing (CORS),Access-Control-Allow-Origin标头字段后面的规范,建立了允许通过XMLHttpRequest的跨源请求,但通过提供允许server to define which cross-origin requests are allowed and which are not的接口来保护用户免受恶意站点读取响应.因此CORS不仅仅是简单地,Access-Control-Allow-Origin:*,表示允许来自任何来源的XHR请求.
现在回答您的问题:假设您的服务是公共的并且不需要任何身份验证,使用Access-Control-Allow-Origin:*来允许来自任何来源的XHR请求是安全的.但请确保仅在您希望允许该访问策略的那些脚本中发送该标头字段.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
