Mobile versionDennoch ist es manchmal nicht trivial, eine Reihe von Domänen hinzuzufügen. Z.B. Wenn ich eine API öffentlich verfügbar machen möchte, muss ich für jede Domain, die diese API aufrufen möchte, kontaktiert werden, um diese Domain zur Liste der zulässigen Domains hinzuzufügen.
I Ich möchte eine bewusste Kompromissentscheidung zwischen Auswirkungen auf die Sicherheit und weniger Arbeit treffen.
Die einzigen Sicherheitsprobleme, die ich sehe, sind DoS-Angriffe und CSRF-Angriffe.
CSRF-Angriffe können bereits sein erreicht mit IMG-Elementen und FORM-Elementen.
DoS-Angriffe im Zusammenhang mit CORS können durch das Blockieren von Anfragen im Referrer-Header überwunden werden.
Übersehe ich Sicherheitsauswirkungen?
- Es wird davon ausgegangen, dass der Access-Control-Allow-Credentials-Header nicht gesetzt ist
- Ich weiß, wie man eine bestimmte Liste von Domänen „CORS-Zugriff“ hinzufügt und ich Ich interessiere mich daher nur für die Sicherheitsauswirkungen des Hinzufügens aller Domains „CORS-Zugriff“