显然,我完全误解了它的语义.我想到了这样的事情:
好吧,我错了.它根本不起作用.所以,我已经阅读了跨源资源共享,并尝试在w3c推荐中阅读跨源资源共享
有一件事是肯定的 - 我仍然不明白我应该如何使用这个标题.
我完全控制了站点A和站点B.如何启用从站点A下载的javascript代码以使用此标头访问站点B上的资源?
PS
我不想使用JSONP.
根据我的理解,使用CORS模块将从Access-Control-Allow-Origin资源中删除标头,导致XmlHttp请求从浏览器失败.
但是,这是否会阻止来自CURL或其他本机应用程序/ Web服务器的Http请求(即通过PHP编写并运行的请求)成功从该资源检索数据?
我正在编写一个具有独立前端和后端的 Web 应用程序。前端是用 React 编写的,后端是运行 Express 端点的 node.js 服务器。如何确保只有我的前端可以访问 API,而不能访问其他任何人?我的 API URL 在我的前端客户端代码中公开,所以任何人都可以看到。
我在我的 API 中添加了 JWT 身份验证,但我仍然需要一个不受保护的 /login 端点来生成 JWT 令牌,并且为了登录以生成令牌,我必须从我的前端发布用户名和密码,这其他用户可以看到,因为它是从客户端完成的。
保护托管在像这样的单独后端上的 API 的正确方法是什么,以便只有我的前端可以访问它,而没有人可以看到正在使用哪些凭据来访问端点?
这个问题与这个问题类似:
我想要的是针对我的服务器上的 REST api 开发一个基于 jQuery 的查询,以检索一些数据以显示在网页上。
我希望网页和 jQuery 的授权用户能够访问此数据,但不希望其他人能够复制该 jQuery 并将其放在自己的网站上以任何方式访问此数据。需要明确的是,这一切都发生在浏览器的客户端 - 不涉及任何服务器端代码......
如果可能的话,实现这一目标的正确策略是什么?
我不希望查看网页的最终用户必须了解浏览器中发生的任何事情......
谢谢!
我有以下 ajax 调用,它检查用户是否是付费会员,如果是,则相应地运行某些功能。这可行,但我担心安全性。如果有人在控制台中更改此 ajax 代码,强制#button成功运行功能而无需执行任何操作,该怎么办?我可以在仍然使用 jQuery ajax 的同时阻止这种情况吗?
$('#button').click(function() {
$.ajax({
url:'checkplan',
type:'POST',
success:function(data){
if(data == 'paid')
//grant access and run some functions
}
})
cors ×2
jquery ×2
security ×2
api ×1
asp.net-core ×1
backend ×1
cross-domain ×1
express ×1
javascript ×1
jwt ×1
rest ×1