html5 - CORS メカニズムの Access-Control-Allow-Origin はどのように設定する必要がありますか?

Question

ドメイン間で cors を使用するには、ターゲット サーバーで Access-Control-Allow-Origin にホストを追加するか、Access-Control-Allow-Origin を * に設定する必要があります。対象サーバーがサードパーティの場合、私を追加するのは非現実的だと思いますが、パブリック API の場合は追加できません。この場合は * に設定されますか?任意のドメイン名からのリクエストを受け入れるように * に設定した場合、XSS 攻撃に関して問題は発生しますか?

Answer 1

Baidu API などのパブリック API では、インターフェイスを調整するために秘密キーが必要です。サードパーティサーバーのインターフェースを調整するには、ホワイトリストへの登録を申請する必要があります。 。 。

Answer 2

セキュリティ上の理由から、ほとんどのオープンインターフェイスでは署名の検証が必要です。アリババのオープンインターフェース https://market.aliyun.com/data をご覧ください

Answer 3

注目してください、良い質問です