php – 有没有安全的方法来允许跨站点AJAX请求?
发布时间:2020-12-13 17:15:59 所属栏目:PHP教程 来源:网络整理
导读:我目前正在开发一个网站所有者可以安装的脚本,它允许用户突出显示一个单词,并在一个小的弹出div中查看该单词的定义.我只是在业余时间做这个业余爱好而无意出售它或任何东西,但我仍希望它是安全的. 当文本突出显示时,它向我的域发送一个AJAX请求到一个PHP页面
|
我目前正在开发一个网站所有者可以安装的脚本,它允许用户突出显示一个单词,并在一个小的弹出div中查看该单词的定义.我只是在业余时间做这个业余爱好而无意出售它或任何东西,但我仍希望它是安全的.
当文本突出显示时,它向我的域发送一个AJAX请求到一个PHP页面,然后在数据库中查找该单词并输出包含该信息的div.据我所知,同源策略禁止我使用普通的AJAX完成此操作,但我也不能使用JSONP,因为我需要返回HTML,而不是JSON. 我调查的另一个选择是添加 header("Access-Control-Allow-Origin: *");
到我的PHP页面. 由于我真的没有太多的安全经验,因为我这样做是一种爱好,有人可以向我解释使用Access-Control-Allow-Origin的安全风险:*? 解决方法
Cross-Origin Resource Sharing (CORS),Access-Control-Allow-Origin标头字段后面的规范,建立了允许通过
XMLHttpRequest的跨源请求,但通过提供允许
server to define which cross-origin requests are allowed and which are not的接口来保护用户免受恶意站点读取响应.因此CORS不仅仅是简单地,Access-Control-Allow-Origin:*,表示允许来自任何来源的XHR请求.
现在回答您的问题:假设您的服务是公共的并且不需要任何身份验证,使用Access-Control-Allow-Origin:*来允许来自任何来源的XHR请求是安全的.但请确保仅在您希望允许该访问策略的那些脚本中发送该标头字段. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |