私はバックエンドサーバを持っており、フロントエンドサーバがバックエンドパブリックAPIにアクセスできるようにCORSフィルタを設定しました。今私は、バックエンドサーバーと通信するモバイルアプリケーションの開発を開始したいが、私は単純にすべての起源を私のフィルタに入れることはできない。 Access-Control-Allow-Originを*に設定する必要がありますか?もしそうなら、それは十分に安全でしょうか?私はユーザーセッションを維持しませんが、すべてのリクエストでユーザーはjwtトークンを送信します。CORSを無効にする必要がありますか?
独自のモバイルアプリを開発している場合、バックエンドのCORS設定を変更する必要はありません。 Access-Control-Allow-Originをワイルドカード(*)に設定すると、すべてのサイトがサイトからパブリックAPIにアクセスできるようになるため、非常に安全になります。 Access-Control-Allow-Originは、Chrome、Firefox、Operaなどのさまざまなブラウザで使用され、バックエンドからAPIにアクセスするフロントエンドがコンテンツにアクセスできるかどうかを確認します。これは、APIとフロントエンドが2つの異なるドメインまたはサブドメインにある場合にのみ行われます。たとえばfoo.comフロントエンドがbar.comのコンテンツにアクセスしようとしている場合は、バックエンドAccess-Control-Allow-Originをfoo.comに設定する必要があります。
すべての起源が非常に何を意味するのですか?その起点はクライアントインスタンスを意味するのではなく、サーバにアクセスするスクリプトがロードされるサーバを意味する –