如何阻止恶意代码欺骗“ Origin”标头来利用CORS？

如何阻止恶意代码欺骗“ Origin”标头来利用CORS？

浏览器可以控制

Origin

标题的设置，用户无法覆盖此值。因此，您不会看到

Origin

来自浏览器的标头。恶意用户可以制作一个手动设置

Origin

标头的curl请求，但是该请求将来自浏览器外部，并且可能没有特定于浏览器的信息（例如cookie）。

请记住：CORS不是安全性。不要依靠CORS保护您的网站。如果您要提供受保护的数据，请使用cookie或OAuth令牌或

Origin

标头以外的其他内容来保护该数据。

Access-Control-Allow-Origin

CORS中的标头仅指示应允许哪个起源发出跨域请求。不要再依赖它了。