bounty将在5天后到期。回答此问题可获得+50声望奖励。Ziggy正在寻找来自信誉良好的来源的答案。
我有一个应用程序,它调用一个API来获取某个服务的用户名和密码(Azure函数)。我创建了Azure API和Azure函数,以便在html/javascript代码中隐藏凭据(Web应用程序)。凭据通过JSON从Azure函数中出来,并通过API发送到我的Web应用程序。但是,这个解决方案的问题是POSTMAN仍然能够访问我的API,并因此显示凭据(任何受人尊敬的开发人员都可以这样做)
我尝试了以下方法,但没有成功:
1.有一个CORS设置,只允许一个网站访问我的API。请参阅下面的设置。
1.将我的Azure函数限制为仅允许API管理服务的IP地址。这不起作用,因为 Postman 只能调用API。
这两种情况都不起作用,有什么帮助吗?
我想知道为什么 Postman 仍然可以访问我的API。我如何限制它这样做?
P.S.我现在知道的唯一解决方案就是让它去做,让API限制请求,但不要禁用POSTMAN
1条答案
按热度按时间41zrol4v1#
CORS是客户端验证的东西。浏览器知道请求可能是恶意的(跨站请求伪造),并将首先发送
OPTIONS
请求以验证是否允许发出该请求。Postman是一个用于测试的工具,不强制执行CORS策略。