这是我第一次玩PhoneGap,所以我以前实际上从未需要过跨源资源共享(CORS)。
默认情况下,它是被阻止的,我在网上找到的选项要么是黑客攻击,要么是不安全的。我的问题是:使用PhoneGap实现服务器集成的最佳或正确方法是什么?
请记住:
- 我需要会话控制服务器端来保持用户登录
- 请求来自PhoneGap的网络视图中的一个文件,因此origin=null
- 我使用的是PHP服务器端,可以完全控制它
<access origin="*" />已经添加到config.xml中(它使我能够联系服务器,但不能保证它会响应跨源请求)
在网上长时间搜索后,我找到了:
Access-Control-Allow-Origin *
Access-Control-Allow-Credentials true
但我知道它们很不安全,特别是组合在一起。我可以在本地保存用户会话ID,但这似乎很不安全。
还有JSONP可以拯救,但这似乎也很粗糙,不安全,不会持续我的会话ID。
我可以使用代理服务器,但这似乎远不是最佳的,据我所知,很难阻止攻击者不使用同一代理服务器执行相同的操作。
嗨,您可以禁用浏览器的安全性并使用它。请找到禁用chrome安全性的链接。
[在Chrome 中禁用同源策略