关于 RESTful API 和 Access-Control-Allow-Origin:"*"

如果是网站调用的 API，应该只允许该网站的域名访问；如果是 APP 调用，就需要用 "*" 了。
至于安全问题，应该是通过使用比较完善的校验机制来控制访问，控制好用户认证和权限吧。

RESTful 跨域比较建议用 CORS，JSONP 这种并不是好东西。

考虑以下情景:

a.com 开发了一个 REST API 给 b.com 站用. 结果把 Access-Control-Allow-Origin 设置成 *.

a.com REST API 权限校验存在 cookie 中, 每次发起请求的时候, 会带上这个 cookie.

现在有一个站点: c.com, 用户访问 c.com, 其中有一个 ajax 请求到 a.com 去请求一个敏感信息, 由于 a.com 没有限制域名, 所以 c.com 发起请求的时候同样会带上 a.com 的 cookie 并且能正确得到结果. 这时候 ajax 返回后立即将结果再次 ajax 发送到 c.com 的服务端.

于是, c.com 得到了只能应该 b.com 访问的敏感内容.

@ZackYang 话说竟然存在cookie

@ZackYang
@kslr
RESTful API 一般都用 token 没有 cookie , 这样的话 CORS "*" 还有其他安全问题没？ 你们的 api 如何做跨域的呢？

@immjun *，token服务器生成维护

话说aouth2也是token泄露了一样可以调用api，没办法吧

Access-Control-Allow-Origin:"仅设置为需要调用的域名"

@immjun 用token为何还有cors

@kslr token 是用来安全认证的 cors 是用来设置跨域 没有矛盾呀

简单回复：

1、某些情况，浏览器你写 *，CORS 中的 request option 那步就不会让你通过；
2、无法很好的防御 CSRF，相当于从任意一个域都可以伪造目标域的请求；