spring cloud gateway配置cors的allow origin 为*(星号),那如何防止csrf?
0
悬赏园豆:5
[已解决问题]
解决于 2021-03-01 10:43
网上看了一大堆,全都是把cors的allow origin 为*(星号);
但是这样的做法,不是容易被csrf攻击吗???
我在用spring cloud alibaba搞前后端分离的项目时,到底该如何解决跨域问题呢???
最佳答案
0
可以配置成具体的地址
https://www.freecodecamp.org/news/access-control-allow-origin-header-explained/
设置成*是有一定的风险的。
主要和使用场景有关,比如只是针对固定范围的服务,此时可以系统防火墙等设置服务主机只能被需要的访问也可以,多种方式结合来保证安全
收获园豆:5
如果是外部客户端,如APP,这个时候不能把每个手机的IP都设置吧?
哦!我是个蠢货!!!APP不存在跨域问题!!!!我还绕了半天..........代码敲完我就去跳海~