题
我正在创建一个旨在通过CORS请求在不同域上托管的JavaScript客户端使用的API。
我的API只能通过HTTPS访问。
我想限制仅访问那些也从HTTPS域提供的JavaScript客户端。
阅读CORS规格 - http://www.w3.org/tr/cors/#user-agent-security - 似乎大多数用户代理会自动阻止HTTPS客户端进入HTTP API请求。
是否可能需要反向 - IE防止HTTP客户端访问我的HTTPS API?
解决方案
如何检查参考器标头以查看它是否以“ HTTPS”开头?您还可以验证推荐人是否将原点域匹配为理智检查。
其他提示
我意识到这有点晚了,但是今天我碰巧浏览了CORS问题。
答案是在请求中查看“原点”标头。如果不是从 https:
然后拒绝请求。不过,我不确定最好使用的状态代码。可能是一个 403 Forbidden
回复。
您应该配置服务器以仅允许API上的HTTPS调用。
不隶属于 StackOverflow