Per impostazione predefinita, Amazon S3 blocca le richieste di origine incrociata. Tuttavia, consente agli utenti di configurare policy CORS per bucket. Offre controlli abbastanza elaborati per quali domini e metodi che l'utente desidera abilitare.
Per me, impostazioni predefinite così conservatrici e impostazioni a grana fine suggeriscono che c'è qualche motivo per cui non potrei voler lasciare che tutti i miei bucket rispondano con Access-Control-Allow-Origin: *
, ma per la vita di me non riesco a pensare ad un in un unico modo potrebbe essere abusato.
S3 fornisce già una politica ACL abbastanza elaborata e gli utenti non possono autenticarsi tramite i cookie (per quanto ne so), quindi il problema non sembra essere la gente che accede a informazioni che non dovrebbero essere in grado di ottenere.
S3 offre anche un modo completamente separato per bloccare completamente l'accesso a determinati domini, compresi i vecchi tag di immagine, quindi non sembra essere un problema di hotlinking.
C'è qualche rischio per una politica CORS super-aperta?