2
我想了解爲什麼許多開發人員在其REST API產品中默認禁用CORS?安全是主要關心的問題?從W3C wiki article上CORS支持,它看起來是相當簡單的添加CORS的支持(添加頁眉訪問控制允許來源值爲「*」在服務器上)啓用CORS支持REST API
最近我遇到了問題時,試圖編寫一個簡單的僅用於JavaScript的應用程序來訪問Azure表和其他Rest API,如Panoptix和ProductWIKI。他們有一些很棒的REST API,但不允許CORS。特定的Azure表具有與其REST API調用相關的嚴格身份驗證過程,儘管它不會讓CORS(至少現在是這樣)。
我想聽聽RESTFul APIs的開發人員和管理員關於他們爲您的API產品啓用/禁用CORS的原因嗎?安全/流量/兼容性是主要關心的問題還是還有其他更多?
我對這個問題有興趣從服務器端。對於我設置的服務API,我通常添加CORS,僅僅是因爲它打開了從瀏覽器使用API的大門。但我想知道安全考慮是什麼。我的觀點是,CORS隻影響瀏覽器,只會打敗他們的同源策略,所以黑客可能會拋出一個簡單的代理服務器,並打敗CORS。但是我從安全角度對CORS的態度感興趣。 – Rob