HTTP 服务可以防跨域，但小程序怎么办呢？

• 資深大佬 : meshell

  “http 服务可以防跨域”是啥意思? 跨域是浏览器的限制呀

• 資深大佬 : KyonLi

  绑定域名要验证所有权的

• 主 資深大佬 : uiosun

  @meshell ……CROS 是服务端限制。至于你说的“浏览器的安全设置”，是后期才添加的（早期的一些浏览器，甚至没有 CROS 安全设定）

• 資深大佬 : meshell

  @uiosun …..

• 資深大佬 : weixiangzhe

  也可以加上 carf token 一类东西 限制一下

• 資深大佬 : wunonglin

  。。。。。什么鬼需求。浏览器能防止而已，反代不久破了么？

• 資深大佬 : ByZHkc3

  小程序很简单啊，你每次请求接口时用 wx.login 拿到 code，用这个 code 在后端做鉴权拦截就好了，一个用户一分钟最多只能请求 100 次这个接口，足够用了

• 資深大佬 : uurun

  跨域是浏览器限制的

• 資深大佬 : qinxi

  @uiosun #3 ???你在说什么

• 資深大佬 : yiqiao

  跨域和第三方服务访问没有关系啊，
  要想防止就做接口鉴权。

• 資深大佬 : luoxiaoyang2021

  CROS 是服务端限制到没错、但是只有浏览器遵守了它

• 資深大佬 : fucUup

  主你虚心一点，
  预检请求返回后，所有浏览器都会遵守的，微信浏览器也会遵守

  你什么都不用做，你在干啥呢

• 資深大佬 : huabalance

  Cross-Origin Resource Sharing (CORS)
  Cross-site request forgery (CSRF)

• 資深大佬 : bruce0

  @meshell 对呀 没看懂啥意思
  HTTP 协议是没有跨域限制的, 日常说的跨域是浏览器做的限制

• 資深大佬 : chinvo

  cors 响应头是服务器发的，但是限制是客户端（浏览器）自己限制的，不遵守 cors 的“客户端”就可以无视了，比如对方用代码转发，甚至更简单点，用 Nginx 转发。

• 資深大佬 : musi

  @uiosun 我寻思这 CORS 报错是浏览器报的错吧？而且请求也是正常发送的，只是把响应拦截了而已。cors 响应头更像是服务端设置的开关，告诉浏览器什么时候作出限制。
  如果说 CORS 是服务端的限制，那不管你的客户端是什么，只要请求这个后端都会受到 CORS 的限制，如果是这样你的这个问题也就不存在了吧？
  附一个 MDN 地址(这片不建议看中文，翻译有点歧义):
  https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

• 資深大佬 : wxsm

  > CROS 是服务端限制

  你真搞错了，CROS 是纯客户端限制，真正意义上的君子协定。从服务端安全角度上来说起不到任何作用。

• 資深大佬 : tanranran

  CROS 有乱用，我不用浏览器，照样绕过。token 就能解决你这个问题

• 資深大佬 : whypool

  调用微信鉴权的逻辑就行了

• 資深大佬 : renmu123

  上的 cros 都是故意的吗，如果是服务端设置，那就不存在爬虫工程师了

• 資深大佬 : zzzmj

  cros …

• 資深大佬 : jinliming2

  CROS 是什么鬼……不是 CORS 么……

• 主 資深大佬 : uiosun

  @jinliming2 原来是这样，年轻了，我还以为是服务端做的操作（凭着感觉打出了 CROS，