JavaScript 라이브러리에서 작업 중이며 누구든지 내 서버에 요청할 수 있습니다. 이 때문에 access-control-allow-origin, 메서드 헤더를 내 서버 응답에 추가했습니다.http access-control-allow- *를 사용하는 AJAX 및 서버 보안
Thigs는 정상적으로 작동하지만 내 질문은 다음과 같습니다. 내 서버에 안전한가요? 내가 고려할 수있는 다른 함의가 있습니까?
고마워요.
서버의 코드만큼 안전합니다. 사람들이 테이블을 삭제할 수있는 AJAX 요청을 보내도록 허용하면 보안되지 않습니다. 하지만 웹 사이트/스크립팅 보안을위한 모범 사례를 따르는 경우 서버가 정상적으로 수행하는 다른 요청을 처리하는 것만 큼 안전해야합니다.
익명 사용자가 서버를 변경 (예 : 투표 수를 늘리거나 댓글 달기, 게시물 삭제 등) 할 수 있습니까? 그렇다면 통제하지 않는 웹 사이트에서 일부 또는 모든 사용자가 사이트의이 기능을 사용하게하는 것이 중요합니까? 액세스 제어 헤더가 원격 XHR이 요청을 할 수있게합니까? 그렇다면 문제가 있습니다.
알려진 사용자가 서버를 변경할 수 있습니까? 그렇다면 통제하지 않는 웹 사이트가 사용자의 일부 또는 모든 사용자를 사이트의이 기능을 사용하도록 만드는 경우 중요합니까? 액세스 제어 헤더가 원격 XHR이 요청을 할 수있게합니까? 액세스 제어 헤더에서 인증 메소드 (예 : 쿠키)를 허용합니까? 그렇다면 문제가 있습니다. 한마디로
: