ブラウザがクロススキームCORSリクエストをするのを防ぐことは可能ですか？

Question

CORSリクエストを介してさまざまなドメインでホストされているJavaScriptクライアントが使用することを目的としたAPIを作成しています。

私のAPIは、HTTPSを介してのみアクセスできます。

HTTPSドメインからも提供されるJavaScriptクライアントのみへのアクセスを制限したいと思います。

CORSスペックを読む - http://www.w3.org/tr/cors/#user-agent-security - ほとんどのユーザーエージェントは、HTTPSクライアントがHTTP APIリクエストに自動的に防止されるようです。

逆を要求することは可能ですか？

Answer 1

参照ヘッダーをチェックして、「HTTPS」から始まるかどうかを確認してください。また、参照者がソニティチェックとしてOriginドメインを一致させることを確認することもできます。

Answer 2

これは少し遅れていることに気付きましたが、今日はCORSの質問を閲覧していることがあります。

答えは、リクエストの「Origin」ヘッダーを見ることです。それが始まっていない場合 https: 次に、リクエストを拒否します。ただし、最適なステータスコードが使用するのかわかりません。おそらくa 403 Forbidden 応答。

Answer 3

APIでのHTTPS呼び出しのみを許可するようにサーバーを構成する必要があります。