作者:
broo (陳爺)
2018-01-07 20:30:44不知道在哪個版問..
我是剛畢業的新鮮人,原本做前端,但公司日後要開發一個簡易小系統,叫我之後可以學
一下怎麼設計api。
我是用express做的。有個問題是遇到跨域的狀況時,有查到說要寫上
Access-Control-Allow-Headers :*
所以我好奇為何postman測試的時候都不會有跨域問題,有查到說跨域問題是瀏覽器同源
策略的安全限制,postman只是類似代理所以不存在這個問題。
那這樣別人拿到我的api在本機用postman亂改不就會直接改到我的資料嗎?
不知道有沒有解釋清楚,請問各位是如何設計自己api的安全機制呢?謝謝
作者:
tw689 (台灣689)
2018-01-07 20:32:00你在瀏覽器中就會被擋,還有你api要有驗證機制你在瀏覽器中就會被擋,還有你api要有驗證機制這樣user要亂改只能改自己的資料
作者: dali17dali17 2018-01-07 20:39:00
要保護好自己的API
作者:
Masakiad (Masaki)
2018-01-07 21:20:00你想問的應該是怎麼限制非授權使用者存取api,web可以考慮session jwt這些方案
作者:
PTTCEO (批踢踢首席執行長)
2018-01-07 21:34:00API的AA 跟 Browser的CORS 是兩件不同的事情
api本身要有驗證機制 cors只能防君子 不能防小人
作者:
broo (陳爺)
2018-01-07 22:42:00謝謝各位的解答!
作者:
jack0204 (Jarbar王朝)
2018-01-07 23:14:00對方要有設定資訊來跟你要token,然後才能用token換資料可以參考google跟fb怎麼做的