¿Es posible evitar que los navegadores realicen solicitudes de esquema cruzado CORS?
https://stackoverflow.com/questions/6303460
-
25-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy creando una API destinada a ser utilizada por los clientes de JavaScript alojados en diferentes dominios a través de solicitudes CORS.
Solo se puede acceder a mi API a través de HTTPS.
Me gustaría restringir el acceso a solo aquellos clientes de JavaScript que también se atienden a los dominios HTTPS.
Leyendo la especificación de Cors - http://www.w3.org/tr/cors/#user-agent-security - Parece que la mayoría de los agentes de usuarios evitarán automáticamente las solicitudes de API HTTPS.
¿Es posible requerir lo contrario, es decir, evitar que los clientes HTTP accedan a mi API HTTPS?
Solución
¿Qué hay de verificar el encabezado de referente para ver si comienza con "HTTPS"? También puede verificar que el referente coincida con el dominio de origen como una verificación de cordura.
Otros consejos
Me doy cuenta de que esto es un poco tarde en llegar, pero hoy estoy navegando por las preguntas de Cors.
La respuesta es mirar el encabezado de "origen" en la solicitud. Si no comienza con https: luego rechace la solicitud. Sin embargo, no estoy seguro de cuál es el mejor código de estado. Probablemente un 403 Forbidden respuesta.
Debe configurar su servidor para permitir solo llamadas HTTPS en su API.
