使用特定的交叉原点和使用*有什么区别?
例如
@CrossOrigin(origins = localhost:8080) or
@CrossOrigin(origins = "*")
如果是*是否有任何安全问题?
引入crosorigin是为了防止来自不受信任网站的后台请求。
想象一下这个场景:
- 您正在浏览:malici.example.com
- 网站发送后台HTTP请求"DELETE http://facebook.com/my-account"静默删除您的帐户
如果发生这种事,你会很生气的,对吗?
这就是CORS的主要原因。它可以防止来自非"可信"的XHR请求;的起源。我鼓励您尽可能使用CORS,以防止此类灾难的发生。
这是一个简化版本,服务器可能还需要启用cookie和header,以便Facebook DELETE工作,但是…你懂的