按照我的理解,如果在foo.com页面上运行的客户端脚本希望从bar.com请求数据,则在请求中必须指定标题来源:http://foo.com,bar必须响应访问控制允许原点:http://foo.com
有什么方法可以阻止roh.com网站的恶意代码简单地欺骗标题来源:http://foo.com是否从工具栏请求页面
浏览器可以控制设置原点标题,用户不能覆盖此值。因此,您不会看到从浏览器伪造的源文件标题。恶意用户可以手工创建一个curl请求,手动设置Origin头,但该请求可能来自浏览器外部,并且可能没有特定于浏览器的信息(例如cookie)
记住:CORS不是安全性。不要依赖CORS来保护您的站点。如果您正在提供受保护的数据,请使用cookie或OAuth令牌或除源文件标题以外的其他内容来保护该数据。CORS中的Access Control Allow Origin标题仅指示应允许哪些来源进行跨来源请求。不要再依赖它了