我目前正在开发一个网站所有者可以安装的脚本,它允许用户突出显示一个单词,并在一个小的弹出div中查看该单词的定义.我只是在业余时间做这个业余爱好而无意出售它或任何东西,但我仍希望它是安全的.

当文本突出显示时,它向我的域发送一个AJAX请求到一个PHP页面,然后在数据库中查找该单词并输出包含该信息的div.据我所知,同源策略禁止我使用普通的AJAX完成此操作,但我也不能使用JSONP,因为我需要返回HTML,而不是JSON.

我调查的另一个选择是添加

header("Access-Control-Allow-Origin: *");

到我的PHP页面.

由于我真的没有太多的安全经验,因为我这样做是一种爱好,有人可以向我解释使用Access-Control-Allow-Origin的安全风险：*？
或者我有更好的方法来做这件事吗？

解决方法:

Cross-Origin Resource Sharing (CORS),Access-Control-Allow-Origin标头字段后面的规范,建立了允许通过XMLHttpRequest的跨源请求,但通过提供允许server to define which cross-origin requests are allowed and which are not的接口来保护用户免受恶意站点读取响应.因此CORS不仅仅是简单地,Access-Control-Allow-Origin：*,表示允许来自任何来源的XHR请求.

现在回答您的问题：假设您的服务是公共的并且不需要任何身份验证,使用Access-Control-Allow-Origin：*来允许来自任何来源的XHR请求是安全的.但请确保仅在您希望允许该访问策略的那些脚本中发送该标头字段.