Amazon S3提供了一种基于每个桶启用CORS支持的方法。但是,默认情况下,CORS已禁用。
我无法想到为我的S3存储桶启用通配符CORS所涉及的单一安全风险,但可能至少存在一些危险,否则他们已经为所有事情启用了它并且不会#39; t提供精确的规则,准确确定哪些域名。
有人可以描述一个漏洞利用或其他原因,为什么我不想在我的所有存储桶上设置<AllowedOrigin>*</AllowedOrigin>?
答案 0 :(得分:0)
来自Wikipedia:
Access-Control-Allow-Origin: *这通常不合适。这是唯一的情况 适当的是完全考虑页面或API响应 公共内容,每个人都可以访问它, 包括任何网站上的任何代码。
以下是您需要使用CORS但您应该避免使用通配符的示例:您使用AJAX在S3上存储需要从应用程序访问的内容(托管在其他URL上),但您不希望使该内容公开提供给其他站点(例如,存储您的某些应用程序数据的HTML或JSON文件,其他站点不应提供这些文件)。
还有其他一些场景,比如可以使用AJAX从其他站点上传内容到S3存储桶。