允许跨域ajax请求

Posted 2023-02-24

【中文标题】允许跨域ajax请求

【英文标题】：allow cross domain ajax requests

【发布时间】：2012-11-03 13:06:52

【问题描述】：

在我的项目中，我需要允许其他人向我的脚本发送 ajax 请求。因此，外部请求可能来自其他网站和域，也可能来自浏览器扩展。 我在我的脚本顶部简单地添加了这两行让他们这样做：

header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST');  

现在我的问题是：这里有没有我遗漏的安全考虑？这个简单的解决方案会造成严重的问题吗？ 如果是这样，更好的解决方案是什么？

感谢您的回复。

【问题讨论】：

你应该记住，现在任何人都可以窃取你的脚本暴露的个人信息。

你能解释更多吗？怎么可能？

这些标头有魔力吗？从来不知道。

@ali：如果我创建一个执行 ajax 请求的页面，给你一个链接并将其发送给你 - 然后我可以从该端点获得任何你可以得到的东西。

您希望外部请求访问什么？听起来你应该写一个 API。

【参考方案1】：

就像 zerkms 所说，如果他们只是“转到”您的 php 页面，他们将能够看到它回显的任何内容。 如果可能（不确定），它还允许不受欢迎的人甚至在本地主机上创建自己的表单并通过 AJAX 提交以获得他们想要的响应.. 如果你没问题，并且信息是模棱两可的/无害的......那么我想它会是“安全的”。获取/传输敏感信息的方法不好

【讨论】：

这个脚本提供的信息和echo() 不是敏感的。那么我想知道是否有更好的解决方案

如果它不是“敏感”的，并且有可能，理论上我看不到除了没有客户端信息获取的服务器端通信之外的“更好”解决方案。比如一个ajax调用，可能调用你OWN服务器上的一个php文件，说php文件完成工作，联系其他服务器，并返回结果，就客户端而言，一切都发生在你端，并且有不涉及第三方

【参考方案2】：

如上所述，任何人都可以随时向您的页面发送请求：因此，您需要考虑的主要安全问题是验证用户输入并仅显示可供公众使用的信息。但这适用于所有脚本。

您需要关注的两个主要问题（在验证用户输入之后）是：

您可能遇到的问题是用户将信息接收到他们的脚本中。根据浏览器的不同（甚至在同一浏览器的不同版本之间），有不同的安全规则阻止它们取回信息。一个常见的解决方案是将信息返回为“JSONP”，即将返回值包装为可由客户端执行的函数调用。这是一个简单的例子（取自http://www.geekality.net/2010/06/27/php-how-to-easily-provide-json-and-jsonp/）。要进一步锁定它，您可以坚持所有查询都是 JSONP 并拒绝任何未发送回调函数的人。

.

<?php

header('content-type: application/json; charset=utf-8');
$data = array(1, 2, 3, 4, 5, 6, 7, 8, 9);
echo $_GET['callback'] . '('.json_encode($data).')';

?>

有人滥用您的服务，打电话太频繁。解决方案是捕获 IP 地址并在您从 IP 地址收到过多呼叫时拒绝。并非万无一失，但这是一个开始。

要记住的其他因素：

脚本设置的 cookie 和其他标头可能会被忽略 同样适用于会话

【讨论】：

始终注意用户输入！ ***.com/questions/129677/…

【参考方案3】：

private function set_headers() 
    header("HTTP/1.1 ".$this->_code." ".$this->get_status_message());
    header("Content-Type:".$this->_content_type);           
    header("Access-Control-Allow-Origin: *");

【参考方案4】：

这对我来说很完美。

header('Access-Control-Allow-Origin: *');
header("Access-Control-Allow-Headers: X-API-KEY, Origin, X-Requested-With, Content-Type, Accept, Access-Control-Request-Method");
header("Access-Control-Allow-Methods: GET, POST, OPTIONS, PUT, DELETE");
header("Allow: GET, POST, OPTIONS, PUT, DELETE");
$method = $_SERVER['REQUEST_METHOD'];
if($method == "OPTIONS") 
    die();