【发布时间】:2013-12-28 16:50:24
【问题描述】:
目前我的 HTTP 服务器有以下配置:
curl -i http://localhost:3000
HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST, GET, PUT, DELETE, OPTIONS
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 86400
Access-Control-Allow-Headers: X-Requested-With, Access-Control-Allow-Origin, X-HTTP-Method-Override, Content-Type, Authorization, Accept
Date: Tue, 10 Dec 2013 22:31:40 GMT
Connection: keep-alive
Transfer-Encoding: chunked
关于访问控制条目。
这些是否表明发送和接收的服务器是什么?
我是否最好尽量减少这个列表?这是否意味着服务器可能更安全,因为访问它的方式更少?
谢谢
【问题讨论】:
-
这是一个很好的问题,并且保护节点服务器比许多其他服务器(例如 Apache)要困难一些,因为 Apache 有很多关于该主题的软件和文档。我会说发送的标头并不重要,考虑到所有其他潜在风险,例如 XSS、CSRF、以某种方式访问服务器等,应该是最不关心的问题。
-
好点他们只发送标题... thx