Javascript https请求头是否可以伪造为安全威胁?
我正在开发一个应用程序,希望使用http post请求将数据从客户端发送到服务器,服务器使用客户端的原始url来允许使用我们的服务,因此我的问题是,客户端的http url是否可以伪造为访问我的服务的安全威胁,如果是这样,我应该采取什么其他选择 例如,如果在foo.com页面上运行的客户端脚本希望从bar.com请求数据,则必须在请求中指定标题Javascript https请求头是否可以伪造为安全威胁?,javascript,node.js,curl,https,Javascript,Node.js,Curl,Https,我正在开发一个应用程序,希望使用http post请求将数据从客户端发送到服务器,服务器使用客户端的原始url来允许使用我们的服务,因此我的问题是,客户端的http url是否可以伪造为访问我的服务的安全威胁,如果是这样,我应该采取什么其他选择 例如,如果在foo.com页面上运行的客户端脚本希望从bar.com请求数据,则必须在请求中指定标题来源:http://foo.com,bar必须响应访问控制允许原点:http://foo.com 有什么方法可以阻止roh.com网站的恶意代码简单地欺骗
来源:http://foo.com
,bar必须响应访问控制允许原点:http://foo.com
有什么方法可以阻止roh.com网站的恶意代码简单地欺骗标题来源:http://foo.com
是否从工具栏请求页面
有什么可以阻止roh.com网站的恶意代码
欺骗标题源
浏览器正在运行。CORS限制和标题仅在浏览器中起作用,浏览器对它们的控制非常严格。这特别是为了防止用户可能无意中访问的随机站点上的随机脚本的驱动攻击。这是为了保护浏览器的用户
但是,没有任何东西可以阻止恶意服务器向您的服务器发送带有任意头的任意HTTP请求。我现在可以使用curl或类似的工具从命令行执行此操作。这些标题不会对您的服务器构成任何形式的保证或保护。' 源url很容易伪造。
添加带有令牌的登录以防止出现这种情况。HTTPS请求的任何部分都与HTTP请求一样具有任意性。“S”在这方面没有添加任何内容。