Лучшая практика для SetIsOriginAllowed

Лучшая практика для SetIsOriginAllowed ⇐ C#

Ответить

1 сообщение • Страница 1 из 1

Anonymous

Лучшая практика для SetIsOriginAllowed

Цитата

Сообщение Anonymous » 26 апр 2024, 07:47

Я нашел следующий код в Startup.cs:

Код: Выделить всё

app.UseCors(options => options
.SetIsOriginAllowed(origin => origin.EndsWith("SomeWebsite.com"))
.AllowAnyMethod()
.AllowAnyHeader()
.AllowCredentials()
.SetPreflightMaxAge(TimeSpan.FromSeconds(2520)
)

Меня беспокоил метод EndsWith().
При текущем состоянии этого кода будет ли это означать, что веб-сайт будет таким поскольку вредоносныйSomeWebsite.com может выполнить CSRF-атаку?
Следует ли вместо этого изменить код на origin.EndsWith(".SomeWebsite.com")?

Подробнее здесь: https://stackoverflow.com/questions/783 ... ginallowed

1714106850

Anonymous

Я нашел следующий код в Startup.cs:
[code]app.UseCors(options => options
.SetIsOriginAllowed(origin => origin.EndsWith("SomeWebsite.com"))
.AllowAnyMethod()
.AllowAnyHeader()
.AllowCredentials()
.SetPreflightMaxAge(TimeSpan.FromSeconds(2520)
)
[/code]
Меня беспокоил метод EndsWith().
При текущем состоянии этого кода будет ли это означать, что веб-сайт будет таким поскольку вредоносныйSomeWebsite.com может выполнить CSRF-атаку?
Следует ли вместо этого изменить код на origin.EndsWith(".SomeWebsite.com")? 

Подробнее здесь: [url]https://stackoverflow.com/questions/78388237/best-practice-for-setisoriginallowed[/url]