क्या यह सर्वर पर "पहुंच-नियंत्रण-अनुमति-उत्पत्ति: *" सेटिंग का उपयोग करना सुरक्षित है और एक ही समय में सत्र आधारित कुकीज़ का उपयोग करना सुरक्षित है?

मैं क्लाइंट अनुप्रयोगों को केंद्रीय डेटा सर्वर पर क्रॉस डोमेन JSON अनुरोध करने की अनुमति देना चाहता हूं। ग्राहक और सर्वर विभिन्न डोमेन पर होंगे।क्या यह सर्वर पर "पहुंच-नियंत्रण-अनुमति-उत्पत्ति: *" सेटिंग का उपयोग करना सुरक्षित है और एक ही समय में सत्र आधारित कुकीज़ का उपयोग करना सुरक्षित है?

"पहुंच-नियंत्रण-अनुमति-उत्पत्ति द्वारा मूल नल की अनुमति नहीं है।" त्रुटि, मेरे पास सर्वर सेट है:

Access-Control-Allow-Origin: *

शीर्षलेख।

मैं यहां देखता हूं (http://www.w3.org/wiki/CORS_Enabled) कि डोमेन को केवल "सार्वजनिक डेटा" के लिए उपयोग किया जाना चाहिए जिसमें कुकी या सत्र आधारित प्रमाणीकरण की आवश्यकता नहीं है "।

एक्सेस-कंट्रोल-ऑब्जेक्ट-उत्पत्ति: * हेडर का उपयोग करते समय सत्र/कुकी आधारित प्रमाणीकरण का उपयोग सुरक्षित नहीं है? यदि नहीं क्यों?

धन्यवाद।

स्रोत

2011-11-14 saintsjd

Access-Control-Allow-Origin: * का सीओआरएस नियमसेट एक पूर्ण समान मूल नीति बाईपास नहीं है, और शायद सुरक्षित है।

प्रत्येक पृष्ठ पर यह हेडर सेट unauthenticated resource-requests के लिए अनुमति देता है। इन अनुरोधों के साथ प्रमाणीकरण कुकीज़ को शामिल नहीं किया गया है, इसलिए एक क्रॉस-साइट XHR का उपयोग करने के लिए उपयोग नहीं किया जा सकता था; अपने ईमेल को पढ़ें, या दूरस्थ डोमेन पर सीएसआरएफ टोकन पढ़ें - क्योंकि इन अनुरोधों को कुकी या भालू टोकन की आवश्यकता होगी।

स्रोत

2011-11-16 02:02:57 rook

यह कैसे काम करना चाहिए जब ब्राउज़र उन संसाधनों तक पहुंच की अनुमति नहीं देगा जिन्हें प्रमाण-पत्र की आवश्यकता है? स्ट्रिंग "*" का उपयोग संसाधन के लिए नहीं किया जा सकता है जो प्रमाण-पत्रों का समर्थन करता है। https://www.w3.org/TR/cors/#resource-requests। मुझे एहसास है कि यह एक पुराना जवाब है, क्या यह '11 में नहीं था? – bayotop

@bayotop आप सही हैं, अपडेट किया गया। मेरी रक्षा में यह 2011 में पोस्ट किया गया था। – rook

उत्तर

संबंधित मुद्दे