這是小編在這次 Mobile Open Platform Conference 分享的內容「如何使用 iframe 製作一個易於更新及更安全的前端套件」,來聽的人跟預期的差不多,應該都被吸去 R1 聽 游舒帆 大大的分享了 XD。
不過要反省一下,這個題目已經改過一次了,但還是取的不好,這個確實要好好檢討。雖然改名後的題目名為「前端套件」,但內容主要是在講後端的安全性,要對前端做些保護,主要有下面幾點:
• CORS:要加上 Access-Control-Allow-Origin
• api key 外流:加上 referer 做允許名單的驗證
• 網域偽造:使用 HTTPS 及 HSTS
最後分享了如何把網域加到 HSTS preload list 以及目前還在草案中的 SVCB/HTTPS 如何解決首次 HTTP request 的問題 (又是看 DK 大神的文章學知識 XD)
另外,這個套件還沒公開出來,關心這個套件的開發狀況,歡迎隨時關注小編的粉絲頁或是 Funliday-旅遊規劃 喔!
如果十一月的 PostgreSQL 小講堂沒有入選的話,這應該就是今年的最後一個公開演講了,今年一次投了三個分享都有上,真的要感謝各大研討會的議程委員會。但真的是累死,之後一年最多還是投兩個就好,要不然光行前準備就花很多時間,累死了 XDDD
#cors #hsts #iframe
access-control-allow-origin多個 在 【Q359】CORS 如果需要指定多个域名怎么办#364 - GitHub 的推薦與評價
逻辑理清楚后,关于服务器中对于 Access-Control-Allow-Origin 设置多域名的逻辑也很清晰 ... 此时可以给多个域名控制CORS,但此时假设有两个域名访问 ... ... <看更多>
access-control-allow-origin多個 在 使用map 实现Nginx 允许多个域名跨域 - 没有名字的博客 的推薦與評價
... Access-Control-Allow-Credentials 'true'; ,但此时会发现浏览器报错,说该参数为true 时,allow origin 不能设置为'*',如果手动指定了多个 ... ... <看更多>