Лучшая практика для SetIsOriginAllowedC#

Место общения программистов C#
Anonymous
Лучшая практика для SetIsOriginAllowed

Сообщение Anonymous »

Я нашел следующий код в Startup.cs:

Код: Выделить всё

app.UseCors(options => options
.SetIsOriginAllowed(origin => origin.EndsWith("SomeWebsite.com"))
.AllowAnyMethod()
.AllowAnyHeader()
.AllowCredentials()
.SetPreflightMaxAge(TimeSpan.FromSeconds(2520)
)
Меня беспокоил метод EndsWith().
При текущем состоянии этого кода будет ли это означать, что веб-сайт будет таким поскольку вредоносныйSomeWebsite.com может выполнить CSRF-атаку?
Следует ли вместо этого изменить код на origin.EndsWith(".SomeWebsite.com")?

Подробнее здесь: https://stackoverflow.com/questions/783 ... ginallowed

Вернуться в «C#»