Se CORS è impostato su * il browser non può leggere la risposta se i cookie vengono inviati. Perché il carattere jolly è considerato non sicuro? [duplicare]

2

Se questa intestazione è impostata

Access-Control-Allow-Origin: *

javascript può fare una richiesta al dominio e leggere la risposta se e solo se nessun cookie viene inviato, altrimenti il javascript non può leggere la risposta.

In generale, perché questa intestazione è considerata una pratica insicura per un'app web stateful che richiede l'autenticazione?

    
posta user55056 06.09.2014 - 03:48
fonte

1 risposta

0

Un'applicazione non dovrebbe mai revocare i loro diritti al criterio Same-Origin, a meno che non ci sia altra opzione. Affinché le informazioni personali vengano divulgate con CORS, un utente malintenzionato deve "cavalcare" una sessione autenticata, che richiederebbe un cookie di sessione.

Un Access-Control-Allow-Origin: * potrebbe essere sfruttato da un utente malintenzionato per visualizzare un'applicazione accessibile solo su una rete locale o VPN. In un certo senso, questa insicura serie di regole crea un tunnel verso un'applicazione interessata, in cui un utente malintenzionato può accedere a un server HTTP sensibile su un segmento di rete privato.

    
risposta data 06.09.2014 - 20:29
fonte

Leggi altre domande sui tag