Чтобы справиться с политикой одинакового происхождения для вызовов AJAX, я хочу разрешить mod_rewrite и mod_proxy обрабатывать эти вызовы таким же образом, как описано в другой ответ:
rewriteEngine on
rewriteRule proxy/(.+)$ http://api.example.com/$1 [P]
Однако я читаю в Интернете, что использование mod_proxy может быть рискованным делом.
Итак, мой вопрос: есть ли какие-либо проблемы безопасности при включении mod_proxy и его использовании указанным выше способом? Если да, то какую конфигурацию я должен выбрать для безопасного использования шлюза mod_proxy?
Спасибо, любая помощь приветствуется.
PS: И да, я знаю, что CORS - более разумный способ решить проблему одного и того же происхождения, но удаленный сайт, с которым я работаю, немного неохотно поддерживает CORS, поэтому мне нужно искать альтернативы.
обязательно иметь ProxyRequests Offдля предотвращения неправильного использования вашего сервера в качестве открытого прокси; из документы:
ProxyRequests Directive
Description: Enables forward (standard) proxy requests
Syntax: ProxyRequests On|Off
Default: ProxyRequests Off
Context: server config, virtual host
This allows or prevents Apache from functioning
as a forward proxy server. (Setting ProxyRequests to Off
does not disable use of the ProxyPass directive.)
In a typical reverse proxy or gateway configuration,
this option should be set to Off.
Что касается проблем безопасности: вы увидите все запросы в своих журналах, поэтому убедитесь, что они защищены и не содержат "интересной" информации, такой как токены или другие вещи, которые могут быть использованы для получения несанкционированного доступа.