HTTP 服务可以防跨域，但小程序怎么办呢？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 1349 天前的主题，其中的信息可能已经有所发展或是发生改变。

蠢了蠢了，才发现 wx.request 本身就是个域，单独限定就好。

求助老哥，小程序有没有类似的跨域机制，防止第三方服务访问我的接口？

程序

老哥

求助

域

23 条回复

meshell

2021-03-01 16:35:54 +08:00

"http 服务可以防跨域"是啥意思? 跨域是浏览器的限制呀

KyonLi

2021-03-01 16:37:14 +08:00

绑定域名要验证所有权的

uiosun

2021-03-01 16:37:24 +08:00

@meshell ……CROS 是服务端限制。至于你说的“浏览器的安全设置”，是后期才添加的（早期的一些浏览器，甚至没有 CROS 安全设定）

meshell

2021-03-01 16:44:39 +08:00

@uiosun .....

weixiangzhe

2021-03-01 16:47:53 +08:00 via iPhone

也可以加上 carf token 一类东西限制一下

wunonglin

2021-03-01 16:49:42 +08:00

。。。。。什么鬼需求。浏览器能防止而已，反代不久破了么？

ByZHkc3

2021-03-01 16:55:55 +08:00

小程序很简单啊，你每次请求接口时用 wx.login 拿到 code，用这个 code 在后端做鉴权拦截就好了，一个用户一分钟最多只能请求 100 次这个接口，足够用了

uurun

2021-03-01 17:15:48 +08:00

跨域是浏览器限制的

qinxi

2021-03-01 17:42:51 +08:00

@uiosun #3 ???你在说什么

yiqiao

2021-03-01 17:45:33 +08:00

跨域和第三方服务访问没有关系啊，
要想防止就做接口鉴权。

luoxiaoyang2021

2021-03-01 17:49:12 +08:00

CROS 是服务端限制到没错、但是只有浏览器遵守了它

fucUup

2021-03-01 18:25:16 +08:00 via Android

楼主你虚心一点，
预检请求返回后，所有浏览器都会遵守的，微信浏览器也会遵守

你什么都不用做，你在干啥呢

huabalance

2021-03-01 18:37:00 +08:00

Cross-Origin Resource Sharing (CORS)
Cross-site request forgery (CSRF)

bruce0

2021-03-01 18:41:22 +08:00

@meshell 对呀没看懂啥意思
HTTP 协议是没有跨域限制的, 日常说的跨域是浏览器做的限制

chinvo

2021-03-01 18:45:23 +08:00 via iPhone

cors 响应头是服务器发的，但是限制是客户端（浏览器）自己限制的，不遵守 cors 的“客户端”就可以无视了，比如对方用代码转发，甚至更简单点，用 Nginx 转发。

musi

2021-03-01 19:04:12 +08:00

@uiosun 我寻思这 CORS 报错是浏览器报的错吧？而且请求也是正常发送的，只是把响应拦截了而已。cors 响应头更像是服务端设置的开关，告诉浏览器什么时候作出限制。
如果说 CORS 是服务端的限制，那不管你的客户端是什么，只要请求这个后端都会受到 CORS 的限制，如果是这样你的这个问题也就不存在了吧？
附一个 MDN 地址(这片不建议看中文，翻译有点歧义):
https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS