我最近一直在使用 JavaScript 将我的电子邮件的 RSS 转换为一个整洁的小应用程序,我什至在本地服务器上设置了一些测试并做了一些跨源(本地主机和本地 IP 等)来实验看看可以做什么。
但是,当我第一次尝试它时,我忘记发送跨源标头,这让我想知道为什么。我没有看到为什么不为每个页面发送跨源标头的理由,尽管这似乎浪费了带宽。那么,我(或其他人)什么时候应该避免使用:
header("access-control-allow-origin: *")
简短的回答是,在某些情况下,它还会允许坏人"假装"他们是您的服务器上的本地人。安全编码可以阻止坏人使用的大多数方法 - 您基本上只是不锁门,但仍设置警报。