面试的时候被问到CORS安全性问题,没答上来,想请教下大家。CORS在服务器端设置了Access-Control-Allow-Origin,不设定为*,不是只有指定的域才能发起请求吗,否则就被浏览器拦截了呀,有看到说http头可以伪造,但是手动设置Origin也会被浏览器阻止,请问CORS的漏洞到底在哪儿?有什么解决方案?谢谢
https://developer.mozilla.org...浏览器兼容性
2.1m questions
2.1m answers
60 comments
57.0k users
