我刚刚了解了CORS,主要是因为我直到现在才需要它.
我已经读过CORS通过发送带有AJAX调用的HTTP头来启用跨站点源,因此其他服务器可以评估请求来自批准的站点.
现在我主要担心的是,HTTP标头不能被欺骗吗?例如,攻击者不能将请求卷曲到其他服务器,发送我的CORS请求所做的确切HTTP头吗?在这种情况下,服务器将接受请求,攻击者将检索服务器将发送给他的任何敏感数据.
我们都知道从页面检索javascript是多么容易,所以我用CORS发送的所有内容都可以通过敏锐的眼光看到.包含HTTP标头.
因此,我认为敏感信息永远不应该在CORS通信中共享......或者我是否认为这一切都错了?请轻松一点!:) 谢谢