Javascript 使用http访问控制的AJAX和服务器安全性允许-*
我正在开发一个JavaScript库,我希望任何使用它的人都可以向我的服务器发出请求。 因此,我在服务器响应中添加了access control allow origin方法头 这很好,但我的问题是:这对我的服务器安全吗?我还可以考虑其他的暗示吗Javascript 使用http访问控制的AJAX和服务器安全性允许-*,javascript,ajax,security,Javascript,Ajax,Security,我正在开发一个JavaScript库,我希望任何使用它的人都可以向我的服务器发出请求。 因此,我在服务器响应中添加了access control allow origin方法头 这很好,但我的问题是:这对我的服务器安全吗?我还可以考虑其他的暗示吗 非常感谢。它与服务器上的代码一样安全。如果您允许人们发送可以删除表的AJAX请求,那么不,这是不安全的。但是,如果您遵循网站/脚本安全的最佳实践,它应该像处理服务器正常处理的任何其他请求一样安全。它与服务器上的代码一样安全。如果您允许人们发送可以删除表
非常感谢。它与服务器上的代码一样安全。如果您允许人们发送可以删除表的AJAX请求,那么不,这是不安全的。但是,如果您遵循网站/脚本安全的最佳实践,它应该像处理服务器正常处理的任何其他请求一样安全。它与服务器上的代码一样安全。如果您允许人们发送可以删除表的AJAX请求,那么不,这是不安全的。但是,如果您遵循网站/脚本安全的最佳实践,它应该像处理服务器正常处理的任何其他请求一样安全。匿名用户可以对您的服务器进行更改(例如,增加投票计数器、发布评论、删除帖子等)?如果是这样的话,如果你不控制的网站让他们的部分或全部用户使用你网站的这一功能,这有关系吗?访问控制头是否允许远程XHR发出这些请求?如果是这样,你就有问题了 已知用户可以更改您的服务器吗?如果是这样的话,如果你不控制的网站让他们的部分或全部用户(也是你的用户)使用你网站的这一功能,这有关系吗?访问控制头是否允许远程XHR发出这些请求?访问控制头是否允许通过身份验证方法(如cookie)?如果是这样,你就有问题了 简言之:
- 用户可以在您的站点上做一些可能不受欢迎的事情吗
- 您的访问控制头是否阻止第三方网站让用户做那些不希望做的事情
- 用户可以在您的站点上做一些可能不受欢迎的事情吗
- 您的访问控制头是否阻止第三方网站让用户做那些不希望做的事情