lom599乐百家官网PHP cURL或许类似的客户端央求不算跨域,会不会不安全?有什么防备步伐?

之前我以为PHP cURL模仿央求也会有跨域限定的。

疑问

在之前设计接口的时分,需求权限拜访的敏感数据(比方需求登录后反省的集团数据)。我是会做token检测的。

但是其他的平凡接口可以直接获取的,只是添加了跨域头,避免跨域调用,但是后面发明,经过PHP cURL是能调用告成的。后面看了eechen的答复。如下:

同源战略避免跨域是阅读器中的安全机制.而PHP的cURL可以看做一个下令行下的阅读器客户端,不受任何限定,就像你用file_get_contents下载互联网上的东西一样为所欲为, 源头。

以为如许设计会不会有点不同理?JS Ajax有跨域限定,PHP cURL这种方式的则没有跨域限定。为什么事前确定跨域限定的时分,为什么不把PHP cURL方式的也作为跨域限定?

那如许的方式又应该怎样去避免跨域调用呢?

处理方案

  1. 之前想做网易云客户真个时分,有看过网易云音乐的接口,是经过CSRF_TOKEN避免跨域调用的。
    PS:话说这种方案,貌似可以经过爬网页获取CSRF_TOKEN,再中断跨域调用吧?

  2. 别的,另有什么方案可以处理这个题目吗?

等待大家的解答,谢谢!

============ 10-27 15:51 ==============

Sorry,我理解错了…我以为是PHP cURL做了什么特别处理。谢谢南小鸟的答复,真实便是相称于直接拜访指定URL,天然不会发生跨域题目…

那假如盼望我的接口不克不及被外界拜访呢?

在内网

这种应该就不需求设置什么了。

在外网

  1. 设置CSRF_TOKEN,但我查了一些CSRF_TOKEN的材料,貌似CSRF_TOKEN主要是为了避免跨站央求伪造,并不是用来做这个的…避免携带你的授权信息cookie:SESSIONID中断打击。

  2. 反省REFER

  3. 另有什么办法呢?

如今我方案用JWT天生Token,每次,央求需求带上Token(带上用户信息,中断权限控制等)。

以为留坑了,Sorry。也感激Gforce的答复。

php curl 就相称于你阅读器直接翻开一个网址,如许固然不算跨域了

可以作一个接口验证,比如使用 JWT

(看完/读完)这篇文章有何感想! lom599乐百家官网的分享…

发表评论

姓名 *
电子邮件 *
站点