Security 使用安全吗；访问控制允许来源：“"；在服务器上设置并同时使用基于会话的cookie？_Security_Session_Cookies_Http Headers_Express

Security 使用安全吗；访问控制允许来源：“"；在服务器上设置并同时使用基于会话的cookie？

security session cookies express

Security 使用安全吗；访问控制允许来源：“"；在服务器上设置并同时使用基于会话的cookie？,security,session,cookies,http-headers,express,Security,Session,Cookies,Http Headers,Express,我希望允许客户端应用程序向中央数据服务器发出跨域JSON请求。客户端和服务器将位于不同的域上要绕过“访问控制不允许原点为null允许原点”。错误，我已将服务器设置为： Access-Control-Allow-Origin: * 标题我明白了(http://www.w3.org/wiki/CORS_Enabled)该跨域应仅用于“不需要cookie或基于会话的身份验证的公共数据” 在使用访问控制允许来源：*标头时，使用基于会话/cookie的身份验证是否不安全？如果不是，为什么谢谢。拥有

我希望允许客户端应用程序向中央数据服务器发出跨域JSON请求。客户端和服务器将位于不同的域上

要绕过“访问控制不允许原点为null允许原点”。错误，我已将服务器设置为：

Access-Control-Allow-Origin: *

标题

我明白了(http://www.w3.org/wiki/CORS_Enabled)该跨域应仅用于“不需要cookie或基于会话的身份验证的公共数据”

在使用访问控制允许来源：*标头时，使用基于会话/cookie的身份验证是否不安全？如果不是，为什么

谢谢。

拥有一个CORS规则集

访问控制允许来源：

不是完全的同一来源策略旁路，可能是安全的

将此标题设置在每页上可允许。这些请求中没有隐式包含身份验证cookie，因此不能使用跨站点XHR来表示；阅读您的电子邮件，或阅读远程域上的CSRF令牌-因为这些请求需要cookie或承载令牌。

当浏览器不允许访问需要凭据的资源时，这应该如何工作？字符串“*”不能用于支持凭据的资源。我意识到这是一个老生常谈的答案，难道这不是11年的情况吗？@bayotop你是对的，更新了。为我辩护，这是2011年发布的。