我想知道是否有一个行业标准来更好地保护移动设备上的ajax调用
我的移动应用程序由我的网站的html、js和;css文件——但是为了提高性能,在移动设备上本地安装它们。移动设备的local index.html然后调用我的web服务器获取数据(本例中为Tomcat)
我发现唯一可行的方法是在我的servlet中启用CORS:
response.setContentType(“text/html”);
addHeader(“访问控制允许来源”,“*”);
addHeader(“访问控制允许方法”、“获取、放置、发布、选项、删除”);
addHeader(“访问控制允许头”,“内容类型”);
addHeader(“访问控制最大年龄”,“86400”);
但老实说,我不喜欢这样,原因有很多,但主要是——现在任何东西都可以从任何域查询我的Web服务器并得到响应
如何使用CORS从移动设备实现对我的Web服务器的相同ajax调用?但要以更安全的方式,以便只允许访问我的应用程序
**或者**在这种情况下,CORS是否完全不正确?是否有更标准/更理想的解决方案
CORS是一个标准,用于指示浏览器在来自另一个域的页面试图访问您的域时如何操作
这里的关键术语是浏览器。任何人都可以构造一个点击服务器的请求(伪造他们喜欢的任何头,包括Origin)。同源策略和CORS所依赖的是一个合作浏览器,它限制了外国脚本的功能
所以这是个好消息。由于您的代码在应用程序的私有web视图中运行,您大概不会面临外国网站在您的视图中运行代码的风险。(与浏览器相反,在浏览器中,许多域在同一浏览器中运行代码。)
因此,只要您的代码仅在应用程序上运行,CORS不会使您的站点比其他情况下更容易受到攻击