4
我不解的看着在OWASP site的cheatsheet这个矛盾的CORS:矛盾OWASP CORS建议
- 使用时要特别小心访问控制允许的凭据:真正的响应头。白名单允许的起源和永远不会回访Access-Control-Allow-Origin中的原始请求标头。
- 只允许在Access-Control-Allow-Origin标头中选定的可信域。优先将域名列入黑名单或允许任何域(通过*通配符或回显Origin标头内容)。
有一个漂浮在那里,你应该回显地请求头,所以我不能像不这样做,除了公共API的一个原因,你可以使用一个通配符*大量的信息。我的观点是,如果您按照此处的建议将白名单的域名列入白名单,那么您可以防止欺骗Origin标头。我错过了什么吗?这只是在该作弊表上的错字?
谢谢并同意。我在第一个项目符号中的“never”一词中遇到了一些问题,如果您的API是针对性的,那么显然您应该回应起源。也许有人访问可能会调整该声明。 – occasl