vedo che l'impostazione "*" jolly è rischio per la sicurezza ovveroPossibili problemi di sicurezza di impostazione Access-Control-Allow-Origin
Access-Control-Allow-Origin: "*"
quello che avrei voluto sapere che ci sono ogni rischio per la sicurezza in ambiente di dominio di cemento ie
Access-Control-Allow-Origin: http://www.example.com
Le intestazioni CORS vengono in genere utilizzate per la richiesta JavaScript AJAX. I browser dispongono di un meccanismo di sicurezza integrato che non consente di interrogare altri domini a meno che non lo consentano esplicitamente impostando queste intestazioni CORS.
Non c'è un grosso rischio per la sicurezza. Puoi sempre inviare richieste malevoli comunque. I browser decidono collettivamente di giocare bene.
Una cosa da essere consapevoli è che si fa non è necessariamente sempre desidera inviare l'intestazione
Access-Control-Allow-Origin: http://www.example.com
. Ciò potrebbe potenzialmente portare le persone a tutti i domini che fanno uso della tua API. La mia raccomandazione è che si emetta l'intestazione solo se è necessario, vale a dire. ricevi una richiesta OPTIONS da un dominio autorizzato.
ho scritto un post sul blog di recente su questo: http://fritsvancampen.wordpress.com/2013/02/03/cross-site-origin-requests-aka-cross-origin-resource-sharing/
Frits van Campen Grazie possibili problemi di browser è quello che ero preoccupato, come dici tu e, per quanto posso vedere che non è qualcosa di cui essere preoccupati. Ottimo post sul blog, grazie ancora. –