Можно ли запретить браузерам делать кросс-схемы CORS-запросов?

Question

Я создаю API, предназначенный для использования клиентами Javascript, размещенными в разных доменах через запросы CORS.

Мой API доступен только через HTTPS.

Я бы хотел ограничить доступ только теми клиентами Javascript, которые также обслуживаются из доменов HTTPS.

Чтение спецификации CORS - http://www.w3.org/TR/cors/#user-agent-security - похоже, что большинство пользовательских агентов автоматически запрещают HTTPS-клиенту выполнять запросы HTTP API.

Можно ли требовать обратного - т.е. запретить HTTP-клиентам доступ к моему HTTPS API?

Answer 1

Как насчет проверки заголовка Referer, чтобы увидеть, начинается ли он с «https»? Вы также можете убедиться, что Реферер соответствует домену происхождения в качестве проверки работоспособности.

Answer 2

Я понимаю, что это немного поздно, но я сегодня просматриваю вопросы CORS.

Ответ - посмотреть заголовок «Origin» в запросе. Если он не начинается с https:, отклоните запрос. Я не уверен, какой код статуса лучше использовать. Вероятно, ответ 403 Forbidden.

Answer 3

Вы должны настроить свой сервер так, чтобы разрешать только вызовы https в вашем API.