问题,我可以依靠“ origin”标头仅接受来自https://domain2.com的请求吗?
请注意,两个网站均受SSL保护
会是这样的:
$headers = getallheaders();
if($headers['origin'] != 'https://domain2.com'){
return FALSE;
}
依赖Origin头类似于依赖Cookie。行为良好的客户端(例如浏览器)将使用正确的值发送该客户端。攻击者只会将其欺骗到所需的任何价值,以使您的服务正常工作。
您可以将其用作阻止某人直接通过浏览器在其网站上使用您的API的一种方式。您不能使用它来阻止某人通过代理使用您的API或直接访问它来下载数据。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句