Возможно ли предотвратить просьбу браузеров запросы CORS CORS -схемы?
https://stackoverflow.com/questions/6303460
-
25-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я создаю API, предназначенный для использования клиентами JavaScript, размещенными в разных доменах с помощью запросов CORS.
Моего API можно получить только через HTTPS.
Я хотел бы ограничить доступ только теми клиентам JavaScript, которые также обслуживаются из доменов HTTPS.
Чтение спецификации CORS - http://www.w3.org/tr/cors/#user-agent-security - Похоже, что большинство пользовательских агентов автоматически предотвратят запросы HTTPS на HTTP API.
Можно ли требовать обратного - т.е. предотвратить доступ к клиентам HTTP в моем API HTTPS?
Решение
А как насчет проверки заголовка реферата, чтобы увидеть, начинается ли он с "HTTPS"? Вы также можете убедиться, что реферер соответствует домену происхождения в качестве проверки здравомыслия.
Другие советы
Я понимаю, что это немного поздно, но сегодня я просматриваю вопросы CORS.
Ответ состоит в том, чтобы посмотреть на заголовок «Происхождение» в запросе. Если это не начинается с https: Затем отвергните запрос. Я не уверен, что лучше всего использовать. Вероятно, а 403 Forbidden отклик.
Вы должны настроить свой сервер, чтобы разрешить только HTTPS вызовы на ваш API.
