Ho un'app che serve un'API simile al resto e un'interfaccia utente angolare per questo. I client possono utilizzare direttamente l'API o utilizzare l'interfaccia utente (se il client è un essere umano).
L'app dovrebbe restituire intestazioni speciali e gestire correttamente le richieste OPTIONS affinché CORS funzioni con il browser e le richieste xhr eseguite da angolari siano consentite.
La mia domanda è perché? Da cosa protegge l'utente? Un'altra domanda è se c'è qualche problema di sicurezza nel permettere a% jolly% jolly di tutti i domini di accedere all'API? Non mi interessa se l'utente usa curl, o ha il proprio script o ha costruito un'interfaccia utente personalizzata per questa API. Perché dovrei inserire restrizioni?
L'unica ragione possibile che posso vedere per questo è evitare la possibilità che un sito di terze parti utilizzi le credenziali memorizzate nel browser per accedere all'API. Ma questo dovrebbe essere impossibile a meno che non venga impostata l'intestazione *
. Ma questo non può funzionare con un'intestazione allow-origin con caratteri jolly.
Chiarificazione : la domanda è non perché limitare l'accesso ma perché limitare i domini di origine quando l'intestazione Access-Control-Allow-Credentials: true
è falsa. Mi dispiace se la mia formulazione non fosse chiara a riguardo.