Se Access-Control-Allow-Origin dovrebbe essere specifico per il dominio

Naviga le tue risposte
2

Infosec ci ha raccomandato di usare questa intestazione:

Access-Control-Allow-Origin:http://domainA.mycompany.com,http://*.mycompany.com

Ma possiedo anche il dominio: http://domainB.mycompany.com

Quindi, se io uso solo

Access-Control-Allow-Origin:http://*.mycompany.com

Sarà sufficiente? o deve essere specifico del dominio?

    
posta Novice User 08.03.2014 - 03:48
fonte

1 risposta

4

Il codice side del tuo server dovrebbe leggere l'intestazione della richiesta Origin e se il pattern corrisponde a uno dei tuoi domini ( http://*.mycompany.com ), puoi restituire Access-Control-Allow-Origin: <domain> dove <domain> è il% effettivo di co_de dato nella richiesta .

Quindi se l'intestazione della richiesta è

Origin

questo corrisponderà a Origin: http://foo.mycompany.com

quindi hai impostato

http://*.mycompany.com

per questa risposta.

    
risposta data 09.03.2014 - 12:03
fonte

Leggi altre domande sui tag

Impostazione delle aspettative di una valutazione della vulnerabilità? Il modo migliore per impostare i certificati SSL per l'utilizzo del servizio Web da Azure