为公共只读WebService启用CORS是否安全？

启用CORS有几个安全问题： <李> CSRF < li >受保护数据的暴露 但是，公共和只读Web服务启用全球CORS有什么问题吗？ 我的假设： CSRF不相关，因为webservice是只读的 窃取受保护的数据与此无关，因为webservice是公共的

4.6.1.2 使用公共只读文件 这是使用文件向未指定的大量应用公开内容的情况。 如果通过遵循以下几点来实现，那么它也是比较安全的文件使用方法。 请注意，在 API 级别 1 7及更高版本中，不推荐使用MODE_WORLD_READABLE变量来创建公共文件，并且在 API 级别 24 及更高版本中，会触发安全异常; 因此使用内容供应器的文件共享方法更可取。 要点： 文件必须在应用目录中创建。 文

我的设置如下所示： 将自定义TLD指向本地主机的自定义DNS服务器 我想要的是我的api和前端都在子域上。tld，其中/api反向代理到我的api和其他所有要转到vuejs开发服务器的内容。 我当前的nginx配置符合我的需要，但它阻止vue devserver连接： vue.config.js： 唯一的问题是，我仍然得到错误，我猜实时错误显示/实时刷新包括在vue-cli（法语对不起，但它基本上

问题内容： 在web应用指南规定我应该把给定的在我的HTML初始化火力地堡： 这样一来，每个访问者都可以接触到。该密钥的目的是什么，真的意味着要公开吗？ 问题答案： 此配置代码段中的apiKey只能识别您在Google服务器上的Firebase项目。知道它不是安全风险。实际上，他们有必要知道它，以便他们与Firebase项目进行交互。使用Firebase作为其后端的每个iOS和Android应用程

问题内容： 我的应用程序中有多个线程同时访问BitSet。该文档说： 如果没有外部同步，则BitSet对于多线程使用是不安全的。 它没有说读或写是否不安全。谁能解释。 问题答案： 仅当初始化的最后一个操作与读取该操作的操作之间存在“先于”关系时，A 对于只读操作才是安全的。 最简单的方法是使用。例如： 这足以确保“安全发布”。 但是，如果您不执行此类操作，则无法保证读取的线程将看到完全初始化的状态

问题内容： 如果将对象引用传递给方法，是否可以将对象“只读”到该方法？ 问题答案： 不严格地说。即，不能将对象突变的引用不能转换为不能对象的引用。另外，除了使用约定外，没有其他方法可以表示类型是不可变的或可变的。 确保某种形式的不变性的唯一功能就是字段-一旦写入，就不能修改。 也就是说，有一些方法可以设计类，从而 防止不必要的变异 。这里有一些技巧： 防御复制 。传递对象的副本，这样，如果该对象被