Подтвердить что ты не робот

Мобильное приложение, избегающее или защищающее CORS?

Мне интересно, есть ли отраслевой стандарт для лучшего обеспечения аякс-вызовов на мобильных устройствах.

Мое мобильное приложение состоит из файлов html, js и css для веб-сайтов, но их локально устанавливают на мобильное устройство для повышения производительности. Локальный index.html мобильных устройств затем вызывает мой веб-сервер для данных (Tomcat в этом случае).

Единственный способ, которым я нашел это, - включить CORS в моем сервлете:

response.setContentType("text/html");
response.addHeader("Access-Control-Allow-Origin", "*");
response.addHeader("Access-Control-Allow-Methods", "GET, PUT, POST, OPTIONS, DELETE");
response.addHeader("Access-Control-Allow-Headers", "Content-Type");
response.addHeader("Access-Control-Max-Age", "86400");

Но, честно говоря, мне не нравится это по целому ряду причин, но в основном - все может теперь запросить мой веб-сервер из любого домена и получить ответ...

Как я могу получить один и тот же вызов ajax на своем веб-сервере с мобильного устройства с помощью CORS, но более безопасным образом, чтобы разрешить доступ к только?

** ИЛИ ** Совместим ли CORS в целом с мобильным телефоном, и существует более стандартное/желательное решение?

4b9b3361

ОТВЕТЫ

Ответ 1

В то время как OAuth - это корпоративные/долгосрочные решения. Для проекта на выходные,

Можете ли вы подумать о том, чтобы ограничить методы только GET или несколько, которые необходимы, а также предоставить доступ только к определенным ресурсам?

Вот один обходной путь, который я использовал.

У меня была аналогичная проблема для приложения angular js на tomcat для взаимодействия с успокаивающим, обратным концом приложения.

Я создал приложение java и размещался на том же коте, где размещался angular. Это приложение Java вызвало запросы на бэкэнд. Позднее я заменил приложение tomcat/java на grunt и nodejs. Хорошо работает.

nodejs, ретрансляционные запросы составляли 4 строки: -)

Ответ 2

CORS является стандартом для инструктирования браузеров о том, что делать, когда страница из другого домена пытается получить доступ к вашему домену.

Ключевым термином являются браузеры. Любой может создать запрос (подделывая любые заголовки, которые ему нравятся, включая Origin), которые попадают на ваш сервер. То, на что Одинаковая политика происхождения и CORS полагаются, - это совлокальный браузер, ограничивающий возможности внешних скриптов.

Итак, новости хороши. Так как ваш код работает в частном веб-представлении в приложении, вы, по-видимому, не сталкиваетесь с риском использования чужого кода на вашем сайте. (В отличие от браузеров, где многие домены запускают код в одном браузере.)

Итак, пока ваш код работает только в приложении, CORS не делает ваш сайт более или менее уязвимым, чем в противном случае.