最近、私は、1年ほど前に構築されたiOS(iphone)用の比較的古いコードバスアプリを手に入れました。Cordova&CORS(iOS)
アプリは、サーバーからAPIを照会します。このサーバーはLaravelを使用して構築され、laravel-corsを使用します。
特有の理由から、このアプリの開発者は、Originヘッダーがない場合にのみCORSサーバー側で要求を受け付けるように設定しています。
私はアプリが過去1年間うまくいっていたと言われました。 それをデバッグしている間、私はiOSのブラウザが原点=>「ファイル://」を追加していることに気づいたコルドバのアプリが要求
を行うための$アヤックスを使用する場合、そのヘッダにそして今、私の質問のために
あなたがいます新しいiOSのバージョンでのこのような変更を認識していますか? 私はクライアントサイドをバイパスするために何もできないと思いますか?
"file://"をサーバー側の受け入れ可能なオリジンとして追加することはどのくらい安全ですか?
ありがとうございます!
私の記憶では、CORSセキュリティは、ブラウザがユーザーが特定のサーバーに要求できるかどうかを確認するために使用されているクライアント側のセキュリティです。したがって、基本的に、Cordova Appの場合、サーバー側にCORSを実装する必要はありません。ブラウザ上でアプリケーションをテストする場合は、開発中に必要になるかもしれません。 – Hammerbot
あなたは正しいです。また、開発者にもこれを認識させましたが、可能であれば、サーバーを改ざんすることを避けるよう教えてくれました。 したがって、私はhttps://github.com/wymsee/cordova-HTTPを使用してCORSの問題を回避しました。 だから、すべての$ .ajax呼び出しをcordovaHTTP.postに変更する必要があります。 バー、悪化する可能性があります! – mitsest
@El_Matella非常に多くの場合、同じサーバー側がCordovaと非Cordova(ブラウザ)アプリケーションの両方に使用されます。したがって、通常のブラウザクライアントの攻撃対象を拡大することなくCORSをオフにすることはできません。コルドバは単にこの起源を送るべきではありません。 – Raman