我从我的用户那里得到了一张照片(图像文件)。我可以使用他们的相机,他们会拍照并为我发送照片。代码是用JavaScript编写的。
在我的 API 中,CORS 被禁用,只有来自我的站点的请求才有效。我想确保我会得到的照片是通过相机拍摄的照片(代码是用JS写的)。我想从 API 端点获取图像。该值是从用户相机获取的,将通过 ajax 请求发送。
如果禁用 CORS,用户是否可以将自定义值发送到 API?
我知道客户端用户可以通过浏览器检查器访问JS代码,但是用户可以更改JS代码并将自定义值发送到CORS禁用的API吗?
用户可以将所需的任何内容发送到您的 HTTP 终结点。
HTTP 终结点是公共的。您无法控制发送给他们的内容。
用户可以手动构造HTTP请求(例如,使用Postman或任何编程语言等工具)并发送他们喜欢的任何数据,而无需浏览器。
任何客户端(甚至不需要是浏览器)都可以向您的 API 发送任意值。它不需要是从相机拍摄的照片,甚至根本不需要是照片。而且您无法阻止这种情况,也无法强制浏览器执行任何操作。这包括防止精明的用户弄乱您的JS代码。
CORS 是在许多客户端中实施的客户端安全措施,可防止其他域上的 js 代码使用用户的凭据访问您的 API。它在这里对你没有帮助。