La domanda è rivolta alla comunità della sicurezza per risolvere alcuni fraintendimenti qui .
Il punto cruciale:
- La società (Wire) ha un cliente (official-client.com) e un codice server (ad esempio official-server.com).
- CORS attualmente consente a official-client.com di accedere a official-server.com, ma unofficial-client.com non ha accesso a official-server.com
- Il codice per il client ufficiale è disponibile per il riutilizzo per applicazioni personalizzate (presumibilmente, per ospitare su non ufficiale-client.com)
Il caso d'uso qui è semplice: esporre i servizi API auth protected agli altri. E la definizione di "altri" è attualmente impostata solo su "official-client.com".
Domanda: Che vantaggio c'è nel non aver?
Access-Control-Allow-Origin: *
Per citare un altro articolo , sembra che l'app non sia altrettanto sicura se si basa sulla sua sicurezza limitando l'accesso alle risorse a un dominio (dato che il dominio può essere simulato con DNS / host locali). Ma non è proprio questo il problema.
Cosa mi manca?