Мобильная версияОднако иногда добавить набор доменов не так-то просто. Например. если я хочу публично предоставить API, то для каждого домена, который хочет выполнить вызов этого API, со мной нужно будет связаться, чтобы добавить этот домен в список разрешенных доменов.
Я хотелось бы принять осознанное компромиссное решение между последствиями для безопасности и меньшим объемом работы.
Единственные проблемы безопасности, которые я вижу, — это DoS-атаки и CSRF-атаки.
CSRF-атаки уже могут быть достигается с помощью элементов IMG и элементов FORM.
DoS атаки, связанные с CORS, можно преодолеть, заблокировав запросы по заголовку реферера.
Я упускаю последствия для безопасности?
- Предполагается, что заголовок Access-Control-Allow-Credentials не установлен
- Я знаю, как добавить заданный список доменов «доступ CORS», и поэтому я интересуют только последствия для безопасности добавления всех доменов "CORS доступ"
Подробнее здесь: https://stackoverflow.com/questions/193 ... low-origin
