您无法在网络浏览器中使用Javascript伪造Origin标头。CORS旨在防止这种情况。
在网络浏览器之外,这无关紧要。它并非旨在阻止人们获取可供公众使用的数据。没有公众的了解,您就无法将其公开。
它的设计目的是给定:
- Alice,提供旨在通过Ajax访问的API的人
- 鲍勃(Bob),拥有网络浏览器
- 查理(Charlie),运行自己的网站的第三方
如果Bob访问Charlie的网站,则Charlie无法将JS发送到Bob的浏览器,以便它从Alice的网站获取数据并将其发送给Charlie。
如果Bob在Alice的网站上拥有一个用户帐户,从而使他能够执行诸如发表评论,删除数据或查看公众 无法
获得的数据之类的事情,上述情况就变得更加重要-
因为在没有保护的情况下,Charlie的JS可以告诉Bob的浏览器在Bob的背后进行操作(然后将结果发送给Charlie)。
如果要阻止未经授权的人员查看数据,则需要使用密码,SSL客户端证书或其他一些基于身份的身份验证/授权方式来保护数据。
