ブラウザがクロススキームCORSリクエストをするのを防ぐことは可能ですか?
-
25-10-2019 - |
質問
CORSリクエストを介してさまざまなドメインでホストされているJavaScriptクライアントが使用することを目的としたAPIを作成しています。
私のAPIは、HTTPSを介してのみアクセスできます。
HTTPSドメインからも提供されるJavaScriptクライアントのみへのアクセスを制限したいと思います。
CORSスペックを読む - http://www.w3.org/tr/cors/#user-agent-security - ほとんどのユーザーエージェントは、HTTPSクライアントがHTTP APIリクエストに自動的に防止されるようです。
逆を要求することは可能ですか?
解決
参照ヘッダーをチェックして、「HTTPS」から始まるかどうかを確認してください。また、参照者がソニティチェックとしてOriginドメインを一致させることを確認することもできます。
他のヒント
これは少し遅れていることに気付きましたが、今日はCORSの質問を閲覧していることがあります。
答えは、リクエストの「Origin」ヘッダーを見ることです。それが始まっていない場合 https:
次に、リクエストを拒否します。ただし、最適なステータスコードが使用するのかわかりません。おそらくa 403 Forbidden
応答。
APIでのHTTPS呼び出しのみを許可するようにサーバーを構成する必要があります。
所属していません StackOverflow