>您好,我正在开发一个个人 api/路由器,据我所知,不允许跨域请求,因此使用 jsonp - get 请求。但是,我认为可以将标头设置为php路由器上的特定url ex:('/remote/api/{value}'),以允许所有人跨域来源(但仅在该网址上)。我想知道我该怎么办?我知道标准(如果我没记错的话)是使用 jsonp)当你做跨域请求时。
那么我应该如何处理呢? 如果我允许对特定 url 子集进行远程发布提交会不会很糟糕?
我认为您正在寻找访问控制允许源标头。可以使用 php(header 函数)为您喜欢的任何页面设置此标头。
您可以将标头的值设置为特定的URL - 可能是您自己的网站,或者设置为*表示所有内容。除非你需要这个,否则不要使用它。这仅适用于对每个请求进行身份验证的无状态 API。如果您依赖 Cookie 或其他内置安全性,则面临跨域攻击的风险。
关于这一点还有很多其他资源:
- 设置访问控制允许来源有哪些安全风险?
- 将所有域添加到 CORS 的安全隐患(访问控制允许来源:*)
- 访问控制允许源多个源域?
- https://security.stackexchange.com/questions/43639/why-is-the-access-control-allow-origin-header-necessary
使用它之前,请确保您知道自己在做什么。