Javascript 允许本地主机使用CORS的安全影响
我有一台服务器,比如在Javascript 允许本地主机使用CORS的安全影响,javascript,web-services,security,cors,Javascript,Web Services,Security,Cors,我有一台服务器,比如在api.myserver.com 对于测试,我们通常从http://localhost 现在,我可以在服务器上设置CORS以允许本地主机的请求,但我的问题是,我向我的用户公开了什么真实世界的攻击(xss或其他攻击) 谢谢 无,运行localhost并从中使用API的用户除外。如果您登录或使用密钥,则无。唯一的理论问题是来自已经被破坏的(XSS)页面的僵尸攻击,但是没有人运行localhost,除JS之外的任何语言都不关心CORS。完全同意上面的评论。CORS只是尊重同源策略
api.myserver.comhttp://localhost谢谢 无,运行localhost并从中使用API的用户除外。如果您登录或使用密钥,则无。唯一的理论问题是来自已经被破坏的(XSS)页面的僵尸攻击,但是没有人运行localhost,除JS之外的任何语言都不关心CORS。完全同意上面的评论。CORS只是尊重同源策略的网络科学家(浏览器)的一项安全功能。因此,重申您的答案:如果用户经常使用
http://localhost