我有两台服务器,A 和 B。我希望服务器 B 只接受来自服务器 A 的 HTTP 请求。“access-control-allow-origin”是一种安全的实现方法吗?
答案1
不。
HTTP 标头是从服务器发送到客户端,或从客户端发送到服务器。这对于保护合作的客户端免受攻击是很好的,但它不是可以很好地保护服务器免受任何攻击。任何客户端都可以根据需要自由地忽略它;服务器无法强制执行它。
实现真正的身份验证,例如 TLS 客户端证书、承载令牌或类似方案。
“access-control-allow-origin” 是限制两个服务器之间通信的安全方法吗?