楼主:
broo (陈爷)
2018-01-07 20:30:44不知道在哪个版问..
我是刚毕业的新鲜人,原本做前端,但公司日后要开发一个简易小系统,叫我之后可以学
一下怎么设计api。
我是用express做的。有个问题是遇到跨域的状况时,有查到说要写上
Access-Control-Allow-Headers :*
所以我好奇为何postman测试的时候都不会有跨域问题,有查到说跨域问题是浏览器同源
策略的安全限制,postman只是类似代理所以不存在这个问题。
那这样别人拿到我的api在本机用postman乱改不就会直接改到我的资料吗?
不知道有没有解释清楚,请问各位是如何设计自己api的安全机制呢?谢谢
作者:
tw689 (台湾689)
2018-01-07 20:32:00你在浏览器中就会被挡,还有你api要有验证机制你在浏览器中就会被挡,还有你api要有验证机制这样user要乱改只能改自己的资料
作者: dali17dali17 2018-01-07 20:39:00
要保护好自己的API
作者:
Masakiad (Masaki)
2018-01-07 21:20:00你想问的应该是怎么限制非授权使用者存取api,web可以考虑session jwt这些方案
作者:
PTTCEO (批踢踢首席执行长)
2018-01-07 21:34:00API的AA 跟 Browser的CORS 是两件不同的事情
api本身要有验证机制 cors只能防君子 不能防小人
楼主:
broo (陈爷)
2018-01-07 22:42:00谢谢各位的解答!
作者:
jack0204 (Jarbar王朝)
2018-01-07 23:14:00对方要有设定资讯来跟你要token,然后才能用token换资料可以参考google跟fb怎么做的