当前位置: 首页 > 知识库问答 >
问题:

为公共只读WebService启用CORS是否安全?

柴翰藻
2023-03-14
    null
Access-Control-Allow-Origin: *
  • CSRF不相关,因为webservice是只读的。
  • 窃取受保护的数据是不相关的,因为webservice是公共的。

共有1个答案

苏波涛
2023-03-14

以下是Fetch规范(定义CORS)中的相关内容:

对于数据通过IP身份验证或防火墙(不幸的是,还是比较常见的)进行保护的资源,使用CORS协议是不安全的。(这就是CORS协议不得不被发明的原因。)

但是,否则使用以下报头是安全的:

Access-Control-Allow-Origin: *
 类似资料:
  • 启用CORS有几个安全问题: <李> CSRF < li >受保护数据的暴露 但是,公共和只读Web服务启用全球CORS有什么问题吗? 我的假设: CSRF不相关,因为webservice是只读的 窃取受保护的数据与此无关,因为webservice是公共的

  • 4.6.1.2 使用公共只读文件 这是使用文件向未指定的大量应用公开内容的情况。 如果通过遵循以下几点来实现,那么它也是比较安全的文件使用方法。 请注意,在 API 级别 1 7及更高版本中,不推荐使用MODE_WORLD_READABLE变量来创建公共文件,并且在 API 级别 24 及更高版本中,会触发安全异常; 因此使用内容供应器的文件共享方法更可取。 要点: 文件必须在应用目录中创建。 文

  • 我的设置如下所示: 将自定义TLD指向本地主机的自定义DNS服务器 我想要的是我的api和前端都在子域上。tld,其中/api反向代理到我的api和其他所有要转到vuejs开发服务器的内容。 我当前的nginx配置符合我的需要,但它阻止vue devserver连接: vue.config.js: 唯一的问题是,我仍然得到错误,我猜实时错误显示/实时刷新包括在vue-cli(法语对不起,但它基本上

  • 问题内容: 在web应用指南规定我应该把给定的在我的HTML初始化火力地堡: 这样一来,每个访问者都可以接触到。该密钥的目的是什么,真的意味着要公开吗? 问题答案: 此配置代码段中的apiKey只能识别您在Google服务器上的Firebase项目。知道它不是安全风险。实际上,他们有必要知道它,以便他们与Firebase项目进行交互。使用Firebase作为其后端的每个iOS和Android应用程

  • 问题内容: 我的应用程序中有多个线程同时访问BitSet。该文档说: 如果没有外部同步,则BitSet对于多线程使用是不安全的。 它没有说读或写是否不安全。谁能解释。 问题答案: 仅当初始化的最后一个操作与读取该操作的操作之间存在“先于”关系时,A 对于只读操作才是安全的。 最简单的方法是使用。例如: 这足以确保“安全发布”。 但是,如果您不执行此类操作,则无法保证读取的线程将看到完全初始化的状态

  • 问题内容: 如果将对象引用传递给方法,是否可以将对象“只读”到该方法? 问题答案: 不严格地说。即,不能将对象突变的引用不能转换为不能对象的引用。另外,除了使用约定外,没有其他方法可以表示类型是不可变的或可变的。 确保某种形式的不变性的唯一功能就是字段-一旦写入,就不能修改。 也就是说,有一些方法可以设计类,从而 防止不必要的变异 。这里有一些技巧: 防御复制 。传递对象的副本,这样,如果该对象被