Возможно ли предотвратить просьбу браузеров запросы CORS CORS -схемы?
-
25-10-2019 - |
Вопрос
Я создаю API, предназначенный для использования клиентами JavaScript, размещенными в разных доменах с помощью запросов CORS.
Моего API можно получить только через HTTPS.
Я хотел бы ограничить доступ только теми клиентам JavaScript, которые также обслуживаются из доменов HTTPS.
Чтение спецификации CORS - http://www.w3.org/tr/cors/#user-agent-security - Похоже, что большинство пользовательских агентов автоматически предотвратят запросы HTTPS на HTTP API.
Можно ли требовать обратного - т.е. предотвратить доступ к клиентам HTTP в моем API HTTPS?
Решение
А как насчет проверки заголовка реферата, чтобы увидеть, начинается ли он с "HTTPS"? Вы также можете убедиться, что реферер соответствует домену происхождения в качестве проверки здравомыслия.
Другие советы
Я понимаю, что это немного поздно, но сегодня я просматриваю вопросы CORS.
Ответ состоит в том, чтобы посмотреть на заголовок «Происхождение» в запросе. Если это не начинается с https:
Затем отвергните запрос. Я не уверен, что лучше всего использовать. Вероятно, а 403 Forbidden
отклик.
Вы должны настроить свой сервер, чтобы разрешить только HTTPS вызовы на ваш API.