È possibile che un utente malintenzionato falsi l'intestazione Access-Control-Allow-Origin?
Oppure, è abbastanza sicuro da proteggere l'accesso alla risorsa tramite l'intestazione Access-Control-Allow-Origin?
Sto cercando di rendere inutilizzabile una chiave API su determinati domini, come il collegamento in API JS.
Se un utente malintenzionato può controllare l'intestazione Access-control-allow-origin, può eseguire attacchi molto peggiori piuttosto che modificare questo elemento di intestazione. Ad esempio un attaccante potrebbe effettuare un attacco Man in the Middle, ma i token di autenticazione, come i cookie, sono un bersaglio più desiderabile.
Un utente malintenzionato potrebbe introdurre la propria intestazione access-control-allow-orign utilizzando la funzione HTTP Response Splitting, ma a questo punto possono controllare l'intestazione e il corpo. Un "allow-orign" non aiuta con l'intera politica Same-Origin è compromessa da una vulnerabilità XSS.
Leggi altre domande sui tag javascript http