我看到,当未启用CORS时,我们无法通过另一个域向Web服务器进行直接的Web请求。
但是,有多种方法可以打破此安全性(例如,使用代理(,这些调整就像魅力一样。
最近我也有一个类似的问题,我想使用我不拥有的网络服务。他们也禁用了跨域请求,但我遵循了这篇文章,并使我能够消耗服务!
我们可以使用由某人开发和托管的服务(通过禁用CORS(。这不是严重的安全漏洞吗?
我们如何确保如果我在休息界面上禁用cors,没人应该可以调整并使用它?
CORS并不是要阻止人们调用API。
CORS旨在防止人们附加可自动攻击服务的凭据。
如果我致电Google.com/secret-service,则通常会自动附加我的Google.com auth cookie,并且该服务将与我的凭据一起调用。
如果我打电话给proxy.com/secret-service,那么我的google.com cookie不会附加。现在可以通过验证并证明它实际上允许致电Google.com/secret-service。