子域名 CORS 配置到底该怎么写才安全?
我们前端部署在 app.example.com,后端 API 在 api.example.com,现在跨域请求一直被拦。试过在后端设置 Access-Control-Allow-Origin: https://app.example.com,但有时候本地开发用 localhost 又要改配置,很麻烦。
网上有人说直接写 *.example.com 就行,但好像浏览器不认这种通配符?那怎么才能既支持所有子域名又不降低安全性啊?
- 1
回答
46浏览
CORS配置到底该怎么写才安全?
我在本地开发时调后端接口老是被CORS拦住,试过在Nginx里加add_header 'Access-Control-Allow-Origin' '*';,虽然能通了,但听说这样不安全。那到底应该怎么...
- 2
回答
86浏览
CORS域名验证时,为什么多个子域名配置会覆盖之前的规则?
我在配置CORS时遇到奇怪的问题,后端设置了允许两个子域名api.example.com和test.example.com,但实际请求时只有最后一个配置生效。比如先写: header("Access-...
- 1
回答
62浏览
子域名间CORS配置为什么还是被拦截?
我在做子域名间的数据交互时遇到了CORS问题。主域名是example.com,后端接口在api.example.com,前端在www.example.com发起请求。按照教程设置了Access-Con...
- 2
回答
579浏览
CORS设置中用*通配符有什么安全风险?为什么改用具体域名反而报错?
我在后端设置了CORS的Access-Control-Allow-Origin为"*",结果被安全审计指出存在漏洞。改成允许特定域名后,浏览器却报"Response to preflight requ...
- 1
回答
42浏览
Nginx配置CORS后还是报跨域错误怎么办?
我在本地开发时用 Vue 调用公司测试服务器的 API,一直被 CORS 拦截。明明已经在 Nginx 里加了跨域头,但浏览器控制台还是报错:「has been blocked by CORS pol...
- 1
回答
20浏览
CORS 配置用通配符 * 会有安全风险吗?
我们后端为了方便开发,把 CORS 的 Access-Control-Allow-Origin 设成了 *,现在上线前有点担心。听说这样会让任何网站都能跨域请求我们的 API,是不是真的有风险? 特别...
- 2
回答
41浏览
Nginx配置CORS后前端还是报跨域错误怎么办?
我在本地用React调后端API,后端部署在另一台服务器上。已经在Nginx里加了CORS头,但浏览器还是报跨域错误,不知道哪里没配对。 这是我的请求代码: fetch('https://a...
- 2
回答
38浏览
CORS白名单配置后前端还是跨域,咋回事?
我后端已经加了CORS白名单,只允许我们自己的域名访问,但本地开发时用 localhost:8080 还是报跨域错误,是不是哪里没配对? 我在 Vue 里是这样发请求的: <script set...
- 2
回答
95浏览
CORS配置能防御CSRF攻击吗?应该如何正确设置?
我在用Spring Boot配置CORS时发现,设置了allowedOrigins为可信域名,但测试时用其他域名发起带token的POST请求居然成功了,这不还是存在CSRF漏洞吗? 后端配置是这样写...
- 1
回答
32浏览
CORS请求中Referrer检查到底有没有用?
我最近在做前端调用后端API,遇到CORS问题。后端同事说他们加了Referrer检查来防止跨域请求,但我听说这并不安全?我自己试了一下,发现即使设置了Referer,浏览器还是会因为CORS策略拦掉...
记得加上对 HTTPS 的验证,不然还是有安全风险。累死了,但这个方法挺靠谱的。