林工作的一个Android应用程序,与科尔多瓦。在应用程序中的某一点上,我不得不调用PHP脚本。 (是的,它必须是在PHP中,因为没有大的机会去做differntly。请不要集中在这一点上,从我的应用程序中排除PHP)。
我的几个小时研究关于PHP集成到科尔多瓦让我发现,这是不能直接成为可能。
这就是为什么,我想主办我的个人域名,这是能够运行PHP脚本我的PHP文件。
总是在我通过我的Android应用程序调用从我的域PHP,它失败:
从出身“https://example.com/php/todo.php” http://localhost“访问的XMLHttpRequest已封锁CORS政策:否“访问控制允许来源”标头出现在所请求的资源。
我知道我可以在我的网域停用CORS政策 - 所以这将是能够运行它。但随后也就会genearl安全风险。
但我的问题是:
我可以让从我的应用程序只CORS CALL,以及其他一切禁止?
或者你有一些想法如何解决呢?
我可以让从我的应用程序只CORS CALL,以及其他一切禁止?
不,你不能。 CORS只保护从跨起源攻击的客户,而不是服务器。每个人都可以伪造,你的服务器会愉快地接受请求。您需要使用类似的API密钥来保护服务器免受不必要的访问。