允许跨域ajax请求

Question

在我的项目中，我需要允许其他人向我的脚本发送 ajax 请求。因此，外部请求可能来自其他网站和域，也可能来自浏览器扩展。
我在我的脚本顶部简单地添加了这两行让他们这样做：

header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST');  

现在我的问题是：这里有没有我遗漏的安全考虑？这个简单的解决方案会造成严重的问题吗？
如果是这样，更好的解决方案是什么？

感谢您的回复。

Answer 1

就像 zerkms 所说，如果他们只是“转到”您的 php 页面，他们将能够看到它回显的任何内容。 如果可能（不确定），它还允许不受欢迎的人甚至在本地主机上创建自己的表单并通过 AJAX 提交以获得他们想要的响应.. 如果你没问题，并且信息是模棱两可的/无害的......那么我想它会是“安全的”。获取/传输敏感信息的方法不好

Answer 2

如上所述，任何人都可以随时向您的页面发送请求：因此，您需要考虑的主要安全问题是验证用户输入并仅显示可供公众使用的信息。但这适用于所有脚本。

您需要关注的两个主要问题（在验证用户输入之后）是：

1. 您可能遇到的问题是用户将信息接收到他们的脚本中。根据浏览器的不同（甚至在同一浏览器的不同版本之间），有不同的安全规则阻止它们取回信息。一个常见的解决方案是将信息返回为“JSONP”，即将返回值包装为可由客户端执行的函数调用。这是一个简单的例子（取自http://www.geekality.net/2010/06/27/php-how-to-easily-provide-json-and-jsonp/）。要进一步锁定它，您可以坚持所有查询都是 JSONP 并拒绝任何未发送回调函数的人。

.

<?php

header('content-type: application/json; charset=utf-8');
$data = array(1, 2, 3, 4, 5, 6, 7, 8, 9);
echo $_GET['callback'] . '('.json_encode($data).')';

?>

1. 有人滥用您的服务，打电话太频繁。解决方案是捕获 IP 地址并在您从 IP 地址收到过多呼叫时拒绝。并非万无一失，但这是一个开始。

要记住的其他因素：

• 脚本设置的 cookie 和其他标头可能会被忽略
• 同样适用于会话

Answer 3

private function set_headers() {
    header("HTTP/1.1 ".$this->_code." ".$this->get_status_message());
    header("Content-Type:".$this->_content_type);           
    header("Access-Control-Allow-Origin: *");
}

Answer 4

这对我来说很完美。

header('Access-Control-Allow-Origin: *');
header("Access-Control-Allow-Headers: X-API-KEY, Origin, X-Requested-With, Content-Type, Accept, Access-Control-Request-Method");
header("Access-Control-Allow-Methods: GET, POST, OPTIONS, PUT, DELETE");
header("Allow: GET, POST, OPTIONS, PUT, DELETE");
$method = $_SERVER['REQUEST_METHOD'];
if($method == "OPTIONS") {
    die();
}