假设我的网站是example.com。在我的服务器上,我有只能用于白名单站点的脚本。我已经设置了此代码,该代码仅允许来自我的站点的XHR请求。
header('Access-Control-Allow-Origin: https://www.example.com')
现在,我想知道有人可以更改原始参数并从其他站点发送伪造的AJAX请求吗?那么原始参数是值得信任的,还是有一种方法可以从脚本或浏览器配置或某些第三方服务中“替代”原始参数示例?
CORS策略在客户端执行;即通过浏览器。
[您可以放心,他们会为您的普通访客阻止CSRF,但是没有什么可以阻止某人手动将请求发送给您的。