矛盾OWASP CORS建议

Question

我不解的看着在OWASP site的cheatsheet这个矛盾的CORS：

• 使用时要特别小心访问控制允许的凭据：真正的响应头。白名单允许的起源和永远不会回访Access-Control-Allow-Origin中的原始请求标头。
• 只允许在Access-Control-Allow-Origin标头中选定的可信域。优先将域名列入黑名单或允许任何域（通过*通配符或回显Origin标头内容）。

有一个漂浮在那里，你应该回显地请求头，所以我不能像不这样做，除了公共API的一个原因，你可以使用一个通配符*大量的信息。我的观点是，如果您按照此处的建议将白名单的域名列入白名单，那么您可以防止欺骗Origin标头。我错过了什么吗？这只是在该作弊表上的错字？

Answer 1

我认为第二项建议措辞不佳。他们都说你应该避免回显Origin标题。通过“回显”，我认为他们的意思是盲目地将Origin标题的值放在Access-Control-Allow-Origin标题中，而没有任何中间检查（例如白名单）。还请注意，这些建议并非绝对规则，应通过您的需求来解释。 API越公开和公开，价值越高。