3回答

潇潇雨雨

通过使用响应Access-Control-Allow-Origin: *，所请求的资源允许与每个来源共享。基本上，这意味着任何站点都可以向您的站点发送XHR请求并访问服务器的响应，如果您尚未实现此CORS响应，则不会这样。因此，任何站点都可以代表其访问者向您的站点发出请求并处理其响应。如果您基于浏览器自动提供的内容（例如cookie，基于cookie的会话等）实施了诸如身份验证或授权方案之类的内容，则由第三方站点触发的请求也将使用它们。这确实带来了安全风险，尤其是如果您不仅允许共享所选资源，还允许共享每个资源的资源，则尤其如此。在这种情况下，您应该看看何时可以安全启用CORS？。

0 0

0