Ajax 我可以“信任”请求原始参数吗?
假设我的网站是example.com。在我的服务器上,我有脚本,它必须只适用于白名单的网站。我已经设置了这段代码,它只允许从我的站点发出XHR请求Ajax 我可以“信任”请求原始参数吗?,ajax,http,security,cross-domain,Ajax,Http,Security,Cross Domain,假设我的网站是example.com。在我的服务器上,我有脚本,它必须只适用于白名单的网站。我已经设置了这段代码,它只允许从我的站点发出XHR请求 header('Access-Control-Allow-Origin: https://www.example.com') 现在我想知道是否有人可以更改origin参数并从其他站点发送虚假的AJAX请求? 那么原始参数是否可信,或者是否有方法从脚本或浏览器配置或某些第三方服务覆盖原始参数示例?客户端强制执行CORS策略;i、 e.通过浏览器 你可
header('Access-Control-Allow-Origin: https://www.example.com')
现在我想知道是否有人可以更改origin参数并从其他站点发送虚假的AJAX请求?
那么原始参数是否可信,或者是否有方法从脚本或浏览器配置或某些第三方服务覆盖原始参数示例?客户端强制执行CORS策略;i、 e.通过浏览器 你可以相信他们会阻止你的普通访客使用CSRF,但是没有什么可以阻止有人按照他们的意愿手动向你发送请求