为通行控制允许来源提供通配符

问题描述

|| 我正在制作一个页面,当另一个特定字符串作为GET变量提供时,该页面将使用特定字符串响应AJAX请求。为了避免“相同来源”政策出现问题,我发现我可以在页面顶部包含以下这行PHP
header(\'Access-Control-Allow-Origin: *\');
无论如何,都不会传递敏感数据,实际上是从几个不同的域(与SEO相关的应用程序)来回传递的关键字。因此,将使用数百个不同的域,因此,如果可能的话,我将避免指定每个域。使用这条线有任何风险吗?如果是这样,它们是什么? 另外,如果此页面位于HTTPS URL下,仍可以访问吗? 任何建议,建议或疑虑都将受到欢迎。谢谢!     

解决方法

如果访问确实是公共的,那么我会说这是一个很好的解决方案。但是,如果要限制对网站的访问,则可能要明确列出允许的每个域来源。 由于您说您的响应不包含任何敏感信息,因此您可能不必担心通过HTTPS托管服务。您可能的一个原因是,如果客户端HTTPS页面尝试访问您的非HTTPS服务。在这种情况下,我想他们会收到有关在调用AJAX服务时发送/接收不安全信息的警告,甚至可能是无声的失败。如果这是足够普遍的情况,那么我想说一下HTTPS服务。确保您的HTTPS证书已正确认证,因为如果客户端的浏览器无法验证该证书,则AJAX请求将以静默方式失败(而不是在直接导航到HTTPS页面时提示)!另外,我不知道您的情况如何,但是每当我使用HTTPS时,我通常都必须进行调整以使它们正常运行。 长话短说,我将从HTTP开始,然后评估HTTPS的需求。祝好运!