我在两个不同的域中有两个webapps WebApp1和WebApp2.
我知道这听起来很奇怪,因为cookie特定于某个域,我们无法从不同的域访问它们; 我听说过CROSS-DOMAIN cookie可以在多个webapps之间共享.如何使用CROSS-DOMAIN cookie实现此要求?
注意:我正在尝试使用J2EE webapps
据说,不应该将所有域添加到CORS,而应该只添加一组域.然而,添加一组域有时并非易事.例如,如果我想公开公开API,那么对于想要调用该API的每个域,我需要联系以将该域添加到允许的域列表中.
我想在安全影响和减少工作之间做出有意识的权衡决定.
我看到的唯一安全问题是DoS攻击和CSRF攻击.使用IMG元素和FORM元素已经可以实现CSRF攻击.可以通过阻止对引用者头部的请求来克服与CORS相关的DoS攻击.
我错过了安全隐患吗?
===编辑===
Access-Control-Allow-Credentials未设置标头我希望允许用户在我正在开发的多人游戏中玩p2p,但为了能够做到这一点,javascript需要能够在浏览器中创建套接字服务器.这甚至可能吗?我不知道任何允许客户端在javascript中连接到其他客户端的API.还有其他方法吗?喜欢使用隐藏的flash元素?
我要求的东西根本不需要服务器.数据包需要直接从客户端传输到客户端