iOS和Android应用程序使用什么CORS策略?
我正在构建一个供iOS/Android应用程序使用的API。该应用程序使用JSON Web Token来验证用户。我在尝试从本机应用程序与API对话时遇到了CORS问题。所以我为所有来源添加了CORS头(只在以< code>/api/开头的URL上)。它现在工作正常,但我想知道我所做的是否不是一个潜在的漏洞?
我应该允许所有的起源吗?如果API要被原生应用请求,我有办法提前知道原生主机吗?
我挺迷茫的。预先感谢你的帮助。
共有2个答案
不要害怕让Cors Origin:*因为如果您限制服务器访问,您可能会使您的业务处于糟糕的不稳定状态,因此请在令牌上努力工作。
但以我的方式,我研究了网络,发现任何加密有时作为第三方工具都有解密,并说哇。
最后,在20天内进行我自己的加密,每天都会使其更难解密。
最终答案:了解加密
如果您希望获得最大安全性,请不要为SSL或内部HASH算法浪费时间。之后,您可以根据需要将加密与国际哈希算法混合使用。
从简单的字符编码开始,然后更新和更新更多,一旦你这样做了,你就可以在你制作的每个应用程序中使用。
希望能有所帮助。
用户应该不需要CORS保护,如果他们有令牌。该令牌与每次您向服务器发送令牌时使用其用户名和密码登录的用户完全相同。CORS防范的威胁模型是一个恶意的域/站点,而不是您自己的站点,使用您的域的cookies(包括会话id)向您的服务器发出AJAX请求。
如果恶意域或实体拥有您的用户令牌,您的用户身份是如此的PWN化,以至于您尝试做什么样的CORS保护并不重要。恶意域具有与您用户的用户名和密码等效的内容。它们被完全破坏,直到您使其令牌无效。
因此,当恶意实体完全破坏用户帐户时,不必担心请求来自何处(CORS)。只要像保护女王的珠宝一样保护令牌即可。通过SSL发送并安全存储。如果恶意实体获取了诺克斯堡的密钥,则您的问题比请求来自何处更大。
-
**Hola在清单文件中的权限: android.permission.receive_boot_completed android.permission.read_external_storage android.permission.write_external_storage android.permission.get_accounts android.permission.read_ph
-
问题内容: 我最近开始建立一个大型的社交网络,我以为自己的结构很好,但事实证明我建立的逻辑很差。 我将自己的观点与AngularJS(不好的主意)混合在一起,跳过了刀片扩展,但是由于我使用了很多块和侧边栏,所以这变得很痛苦。 目前,我只是使用angular处理表单验证,但实际上我的所有网站页面都需要ajax,数据提取等功能。 我在网上搜索时,发现角度视图存储在公用文件夹中,但是由于我的所有页面都将
-
我正在使用Ionic Framework开发一个android应用程序,该应用程序基于我使用Jhipster开发的AngularJS网站。由于我的web应用程序中已经运行了服务器代码,我选择了Ionic作为UI,并在需要时调用服务器,但我的开发环境中存在一些问题。 当我使用Ionic服务运行我的应用程序时,我需要使用CORS向服务器发出请求。 我的Web应用程序是使用带有Spring Securi
-
我刚学会飞镖和扑腾。 谢了!
-
另外,为什么在键入Style标记的name属性时执行Ctrl+Space操作时看不到所有的r.attr元素? 请帮忙。谢了。
-
我了解了Firebase托管的标头配置,所以我这样做了: 在app中,在didChangeDependencies中有一个简单的firebase初始化,带有所需的数据。然后firebase auth . instance . signinwithemailandpassword(...)关于index.html的一段关于火垒的话: 我在Chrome中测试过很多次,总是失败。只有在localhost