我正在使用此资源上的示例应用程序编写带有基于令牌的身份验证的C#WebAPI 2 Web服务:http://www.asp.net/web-api/overview/security/individual-accounts-in-web-api
我希望用户可以从他们自己的HTML网页访问webservice .
为使用基于令牌的身份验证的本地登录Web服务启用所有域的CORS是否安全?
我正在使用此资源上的示例应用程序编写带有基于令牌的身份验证的C#WebAPI 2 Web服务:http://www.asp.net/web-api/overview/security/individual-accounts-in-web-api
我希望用户可以从他们自己的HTML网页访问webservice .
为使用基于令牌的身份验证的本地登录Web服务启用所有域的CORS是否安全?
2 回答
没有其他可能性 . 否则,您的用户总是会遇到CORS问题 . 我会启用CORS .
“为所有域启用CORS”会让我感到担心 . 您应该有一个可以来自请求的受信任域列表 . 这就是它的工作方式 .