CORS请求中Referrer检查到底有没有用?
我最近在做前端调用后端API,遇到CORS问题。后端同事说他们加了Referrer检查来防止跨域请求,但我听说这并不安全?我自己试了一下,发现即使设置了Referer,浏览器还是会因为CORS策略拦掉请求。
比如我这样发请求:
fetch('https://api.example.com/data', {
method: 'POST',
headers: {
'Content-Type': 'application/json'
},
body: JSON.stringify({ msg: 'hello' })
})
结果控制台报CORS错误,但网络面板里看到请求其实发出去了,只是响应被浏览器拦截了。那后端做Referrer检查还有意义吗?是不是完全防不住恶意请求?
- 1
回答
37浏览
CORS 请求中 Referrer 检查到底安不安全?
我在做前端请求时,后端同事说他们加了 Referrer 检查来防止跨域攻击,但我听说这其实不靠谱? 比如我用 fetch('/api/data') 发请求,浏览器自动带上了 Referer 头,但这个...
- 1
回答
27浏览
前端请求被拦截,Referrer Policy 到底该怎么配?
我在做跨域请求时老是被浏览器拦掉,控制台提示“Referrer Policy 限制了 referer 头”。试过在 meta 里加 <meta name="referrer" content="...
- 2
回答
43浏览
React中POST请求为什么被CORS拦截?预检请求没发出去?
在React项目里用fetch发POST请求到第三方API时,浏览器突然报CORS错误。我明明设置了headers里的Content-Type为application/json,但控制台显示"Resp...
- 2
回答
60浏览
为什么我的Ajax请求突然报CORS错误?之前还能正常工作?
我在用Vue写一个表单提交功能,突然发现用axios发POST请求到后端PHP接口时,浏览器直接报CORS错误,明明昨天还能正常工作... 前端代码没改过,就是普通的axios配置:axios.pos...
- 1
回答
11浏览
为什么本地开发时请求后端接口会报CORS错误?
我在本地用 Vite 启动前端项目,调用公司测试环境的 API 接口,浏览器控制台一直报 CORS 错误,说“跨源请求被阻止”。后端同事说他们已经加了 Access-Control-Allow-Ori...
- 1
回答
41浏览
CORS配置到底该怎么写才安全?
我在本地开发时调后端接口老是被CORS拦住,试过在Nginx里加add_header 'Access-Control-Allow-Origin' '*';,虽然能通了,但听说这样不安全。那到底应该怎么...
- 1
回答
40浏览
前端用代理解决CORS问题,为什么本地开发可以线上却不行?
我在本地开发时用 Vite 的 proxy 配置成功绕过了 CORS,接口能正常调用。但部署到线上后,请求还是被浏览器拦了,报错 CORS header 'Access-Control-Allow-O...
- 1
回答
29浏览
CORS 中 Access-Control-Allow-Methods 设置不生效怎么办?
我在前端用 fetch 发了个 DELETE 请求,但浏览器报 CORS 错误,说方法不允许。后端明明设置了 Access-Control-Allow-Methods: GET, POST, PUT,...
- 1
回答
21浏览
为什么本地React项目调用API会报CORS错误?
我用create-react-app搭了个小项目,想调公司内网的一个测试接口,但一请求就报CORS错误。明明后端同事说已经加了允许跨域的头,可浏览器还是拦着不让发请求。 我在本地开发环境(http:/...
- 1
回答
26浏览
前端用代理解决CORS问题,为什么本地开发能行上线就挂了?
我在本地开发时用 Vite 的 proxy 配置成功绕过了 CORS,请求第三方 API 没问题。但部署到线上后,直接报跨域错误,明明线上也配了 Nginx 反向代理,怎么就不生效了? 本地配置是这样...
先说CORS,你需要让后端设置正确的
Access-Control-Allow-Origin响应头,允许你的前端域名访问才行。比如:至于Referrer检查,它确实能增加一点安全性,但不能完全依赖它防止恶意请求。因为Referrer是可以被伪造的,特别是一些低版本浏览器或者自定义客户端请求。
如果要加Referrer验证,建议用正则表达式严格匹配来源域名,记得转义特殊字符。不过别指望它能防住所有攻击,最好还是结合其他手段,比如JWT认证、CSRF token这些。
总的来说,解决CORS问题得从源头来,把跨域配置做好。Referrer检查可以作为额外的安全层,但别把它当成主要防线。累死我了,每次遇到这种跨域问题都要解释半天。