允许跨域ajax请求

Question

在我的项目中,我需要允许其他人向我的脚本发送ajax请求.因此,外部请求可能来自其他网站和域,也可能来自浏览器扩展.
我在脚本的顶部添加了这两行,让他们这样做:

header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST');  

现在我的问题是:这里有任何我错过的安全考虑吗？这个简单的解决方案会造成严重的问
如果是这样,什么是更好的解决方案？

谢谢你的回复.

Answer 1

如上所述,任何人都可以随时向您的页面发送请求:因此您需要的主要安全问题是验证用户输入并仅显示可供公众使用的信息.但这适用于所有脚本.

您需要关注的两个主要问题(在验证用户输入之后)是:

1. 您可能遇到的问题是用户将信息接收到他们的脚本中.根据浏览器(甚至是同一浏览器的风格),有不同的安全规则可以阻止它们获取信息.对此的一个常见解决方案是将信息提供为"JSONP",将您的返回值包装为可由客户端执行的函数调用.这是一个简单的例子(摘自http://www.geekality.net/2010/06/27/php-how-to-easily-provide-json-and-jsonp/).要进一步锁定它,您可以坚持所有查询都是JSONP并拒绝任何不发送回调函数的人.

.

<?php

header('content-type: application/json; charset=utf-8');
$data = array(1, 2, 3, 4, 5, 6, 7, 8, 9);
echo $_GET['callback'] . '('.json_encode($data).')';

?>

2. 有人经常打电话来滥用你的服务.解决方案是捕获IP地址并拒绝来自IP地址的过多呼叫.不是万无一失,但这是一个开始.

其他要考虑的因素:

• 您的脚本设置的Cookie和其他标头可能会被忽略
• 同样适用于会话