从家庭网络上的 grunt Web 服务器限制 http:// 连接到远程托管 Web 服务器的正确 CORS 条目是什么？

Question

我已经设置了一个通过 REST API 响应的远程托管 javascript 服务器 (DreamFactory Server http://www.dreamfactory.com/)。

在本地，我通过 grunt web 服务器通过 $grunt serve 运行 Angularjs 应用程序 https://www.npmjs.com/package/grunt-serve

我在远程服务器上设置了 CORS，以允许多个 http:// 连接类型使用“*”。这工作正常。

我的问题是如何将 CORS 配置限制为仅允许来自我家的 grunt Web 服务器的连接？

我尝试为“localhost”、“127.0.0.1”创建一个条目，这也是我从 whatismyip.com 报告的家庭 Internet IP，这是我的提供商在我 ping 它时为我的家庭 IP 列出的 dns 条目，我为我的家庭互联网 IP 创建的 dyndns 条目...它们都不起作用，除了 '*'（它允许任何站点连接）。

我认为了解 CORS 条目应该是什么样子以仅允许来自我的家庭网络服务器的连接对我来说是一个教育问题。

这可能吗？如果是这样，我应该检查什么以及在哪里检查才能在 CORS 配置中找到要清除的正确条目？

-布赖恩

Answer 1

要工作并实际应用限制，请求连接的客户端必须支持并强制执行 CORS。以一种奇怪的方式（从安全的角度来看），使用 CORS 限制访问需要一个自我监管的客户端（遵循规定的访问规则的客户端）。这适用于现代浏览器，因为它们都遵循规则，因此它通常适用于通过浏览器提供服务的应用程序。

但是，CORS 访问限制不会阻止其他类型的客户端（例如任何语言的任何随机脚本）访问您的 API。

换句话说，CORS 实际上是关于由本地浏览器强制执行的网页访问规则。听起来您的 grunt/angular 代码不一定是实现和强制执行 CORS 的东西。

---

如果您确实想阻止其他系统访问您的 DreamFactory Server，那么您需要在 API 服务器本身中实现一些服务器端访问限制。

如果您只有一个客户端访问它并且该客户端正在使用不公开的“受保护”代码，那么您可以只实施密码或某种登录凭据，而您的一个客户端将是唯一拥有登录凭据。

如果访问始终来自一个特定的固定 IP 地址，您可以拒绝来自不在您维护的配置文件中的任何 IP 地址在您的服务器上的连接。

Answer 2

您无法使用 CORS 保护 API，因为您需要在服务器上实施身份验证方案。基本上有 4 个步骤可以做到这一点。

1. 使用一些额外的访问控制语句更新您的服务器发送的标头。
2. 告诉 Angular 允许跨域请求。
3. 在来自 Angular 的 API 调用中传递凭据。
4. 在您的 Web 服务器或 API 代码中实施 HTTP 身份验证方案。

Georgi Naumov 的这篇文章是查找 Angular 和 PHP 实现细节的好地方。 AngularJS $http, CORS and http authentication