sso.com
,一个用于登录的中心站点,启用了CORS的API static1.org
,static2.net
。sso.com
执行跨域AJAX请求。sso.com
。我无法找到在实践中完成此方案的任何示例。那是因为它实际上是一个安全问题吗?我们是否需要对批准的CORS域名列表非常小心?
答案 0 :(得分:1)
这听起来像是如何将数据提供给大型网站(Facebook,Google等)。
就安全性而言,只要您验证服务器端,确保关键帐户操作(将内容保存到数据库,更改数据库)等等完成服务器端,那么你应该完全安全。
这里的关键是确保敏感数据由服务器处理而不是客户端。如果您牢记这一点,您可以考虑安全性来构建应用程序。此外,永远不会信任用户输入。
我希望这有帮助!