問題描述

使用cors跨域需要目標(biāo)服務(wù)器在Access-Control-Allow-Origin中添加你的host或者把Access-Control-Allow-Origin設(shè)成 * 號(hào)。那如果目標(biāo)服務(wù)器是第三方的話，讓他去添加我好像不太現(xiàn)實(shí)，如果是那種public api的話也加不過來，那這種情況都是設(shè)成 * 嗎？設(shè)成 * 接受任何域名的請(qǐng)求的話會(huì)不會(huì)產(chǎn)生xss攻擊的問題呢？

問題解答

公共Api比如百度Api調(diào)接口要用秘鑰key。調(diào)第三方服務(wù)器的接口是要申請(qǐng)加白名單的。。。

安全考慮大部分開放接口都會(huì)要求簽名驗(yàn)證的。可以看下阿里的開放接口https://market.aliyun.com/data

關(guān)注一下,好的問題