Я прочитал статью о asp.net.MVC EnableCors мы можем быть уверены в происхождении?
Они используют пароль grand_type Oauth2 в javascript-вызове ajax для WebApi.
Это безопасно, если мы не разрешаем использование CORS (совместное использование ресурсов по перекрестным источникам). Но я хочу разрешить другому сайту использовать этот api с auth2.
Мой вопрос: Как я могу быть уверен, что они не отправили на мой сервер. Некоторые можно делать вид, что на этом сайте (например, изменение хост-файл в «System32 \ Drivers \ Etc \ хостов» или локальный DNS)
Является ли EnableCors атрибут двойную проверку в браузере и на хосте для срока действия хост или это вещь браузера?
Другой сайт только JavaScript, не на стороне сервера, как осина или PHP ...
Если вы можете предоставить документацию по безопасности для Cors, это будет очень приятно.
Танк вас.
EDIT: Я не спрашиваю, как его использовать. Я спрашиваю, может ли обойденный хозяин быть обойден.
Как вызов, сделанный ajax на javascript, это клиент ip, который я получаю, когда запрос сделан, я получаю HTTP referer для проверки на стороне сервера, но я не доверяю ему, потому что клиент может его изменить ,
Я спрашиваю, могу ли я доверять заголовку «Access-Control-Allow-Origin», если сервер проверяет его или только для браузера, минуя правила безопасности в самом браузере. И если я не могу доверять ему, есть ли способ получить доверенный запрос происхождения.
Вы можете создать белый список разрешенных IP-адресов, которые могут получить доступ к вашему веб-сайту api –
, можете ли вы предоставить документацию, пожалуйста? Это может в конечном итоге ответить на вопрос. – Benoit