我的服务器上运行着一个django应用程序。在该应用程序中,我使用django-cors-headers
来保护我的api不受其他来源的影响,除了我通过这样做设置的来源:
# settings.py
CORS_ALLOWED_ORIGINS = [
'http://localhost:3000'
]
当我用http://127.0.0.1:5500
等其他来源测试它时,它给出了cors错误,这就是我想要的。
但是当我使用vscode的扩展名REST Client
访问我的api时,它没有任何错误。
我该如何保护我的api?我对这些事情都是新手,所以也许有些事情我不知道。谢谢你。
CORS头不会阻止访问您的API。它只告诉浏览器它应该允许哪些交叉源请求。
能够从VS Code REST客户端扩展访问API的唯一一件事告诉你,就是它不尊重CORS头(它不应该这样做,因为它不是浏览器(。