अमेज़ॅन S3 प्रति-बाल्टी आधार पर कॉर्स समर्थन को सक्षम करने का एक तरीका प्रदान करता है। डिफ़ॉल्ट रूप से, हालांकि, CORS अक्षम है।
मैं इसमें शामिल एक एकल सुरक्षा जोखिम के बारे में नहीं सोच सकतामेरे S3 बाल्टियों के लिए वाइल्डकार्ड कॉर्स को सक्षम करने के साथ, लेकिन संभवतः कम से कम कुछ खतरा होना चाहिए, या फिर उन्होंने "बस इसे सब कुछ के लिए सक्षम किया है" और बिल्कुल उन डोमेन के लिए ऐसे विस्तृत नियम प्रदान नहीं करते हैं जिन पर भरोसा करना चाहिए।
क्या कोई किसी कारनामे या अन्य कारण का वर्णन कर सकता है कि मैं सिर्फ सेट क्यों नहीं करना चाहता <AllowedOrigin>*</AllowedOrigin> मेरी सभी बाल्टियों पर?
उत्तर:
जवाब के लिए 0 № 1से विकिपीडिया:
Access-Control-Allow-Origin: *यह आमतौर पर उचित नहीं है। केवल मामला जहां यह है उपयुक्त तब है जब पृष्ठ या एपीआई प्रतिक्रिया पूरी तरह से माना जाता है सार्वजनिक सामग्री और इसका उद्देश्य सभी के लिए सुलभ होना है, किसी भी साइट पर किसी भी कोड सहित।
यहां एक उदाहरण है जहां आपको उपयोग करने की आवश्यकता होगीCORS लेकिन आपको वाइल्डकार्ड का उपयोग करने से बचना चाहिए: आप S3 पर उस सामग्री को संग्रहीत करते हैं जिसे आपको AJAX का उपयोग करके अपने ऐप (किसी अन्य URL पर होस्ट किया गया) से एक्सेस करने की आवश्यकता है, लेकिन आप उस सामग्री को सार्वजनिक रूप से अन्य साइटों पर उपलब्ध नहीं कराना चाहते हैं (जैसे HTML या JSON फ़ाइल जो आपके ऐप के कुछ डेटा को संग्रहीत करती है, जहां वे फाइलें अन्य साइटों से उपलब्ध नहीं होनी चाहिए)।
AJAX का उपयोग करके अन्य साइटों से अपने S3 बाल्टी में सामग्री अपलोड करने की संभावना जैसे अन्य परिदृश्य भी हैं।