允许跨域Ajax请求

如上所述，任何人都可以随时向您的页面发送请求：因此，您需要关注的主要安全问题是验证用户输入，并仅显示可供公众消费的信息。但这适用于所有脚本。

在验证用户输入之后，您需要集中关注的两个主要问题是：

1. 您可能遇到的问题是用户将信息接收到其脚本中。根据浏览器（甚至是同一浏览器的不同版本），有不同的安全规则来防止它们获取信息。一个常见的解决方案是将返回的信息作为“JSONP”提供，即将返回值包装为客户端可以执行的函数调用。以下是一个快速示例（摘自http://www.geekality.net/2010/06/27/php-how-to-easily-provide-json-and-jsonp/）。为了进一步加强安全性，您可以坚持要求所有查询均为JSONP，并拒绝未发送回调函数的任何人。

.

<?php

header('content-type: application/json; charset=utf-8');
$data = array(1, 2, 3, 4, 5, 6, 7, 8, 9);
echo $_GET['callback'] . '('.json_encode($data).')';

?>

2. 有人滥用您的服务过于频繁调用。解决方法是陷阱IP地址，如果从一个IP地址接收到太多的调用，则拒绝。不是万无一失的，但这是一个开始。

需要记住的其他因素：

• 由您的脚本设置的cookie和其他标头可能会被忽略
• 同样适用于会话

就像zerkms所说的，如果他们只是“访问”您的php页面，他们将能够看到它所输出的任何内容。 如果可能的话（不确定是否可以），它还将允许不需要的人甚至在本地主机上创建自己的表单并通过AJAX提交以获取他们想要的响应... 如果这对您来说没问题，并且信息模糊/无害... 那么我想它会是“安全”的。这是一种不安全的方法来获取/传输敏感信息。

这对我来说完美地运作了。

header('Access-Control-Allow-Origin: *');
header("Access-Control-Allow-Headers: X-API-KEY, Origin, X-Requested-With, Content-Type, Accept, Access-Control-Request-Method");
header("Access-Control-Allow-Methods: GET, POST, OPTIONS, PUT, DELETE");
header("Allow: GET, POST, OPTIONS, PUT, DELETE");
$method = $_SERVER['REQUEST_METHOD'];
if($method == "OPTIONS") {
    die();
}

private function set_headers() {
    header("HTTP/1.1 ".$this->_code." ".$this->get_status_message());
    header("Content-Type:".$this->_content_type);           
    header("Access-Control-Allow-Origin: *");
}