我很困惑地看到CORS的OWASP site备忘单上的这个矛盾:
有很多信息浮出水面,你应该回显Origin请求标题,这样我就无法想象除了你要使用的公共API以外没有这样做的原因*通配符。我的观点是,如果您按照此处的建议将原始域列入白名单,那么您可以防止欺骗Origin标头。我错过了什么吗?这只是该备忘单上的拼写错误吗?
答案 0 :(得分:5)
我认为第二条建议的措辞很差。他们都说你应该避免回复Origin标题。通过“回显”,我认为它们意味着盲目地将Origin标题的值放在Access-Control-Allow-Origin标题中,而不进行任何中间检查(例如白名单)。另请注意,这些是建议而非绝对规则,应根据您的需要进行解释。 API越开放和公开,*值越可接受。