Sto testando un'API, che consente un'origine arbitraria su POST
/ GET
richieste, rispondendo con l'intestazione CORS Access-Control-Allow-Origin: *
.
Tuttavia, con OPTIONS
richieste e origine arbitraria, il servizio web non risponde con Access-Control-Allow-Origin: *
, non usa affatto l'intestazione di risposta.
Questo significa che qualsiasi richiesta di verifica preliminare CORS con un'origine arbitraria fallirebbe.
Non vedo il punto di avere l'intestazione di risposta CORS per GET
/ POST
richieste, ma non la richiesta OPTIONS
. Tuttavia, non posso fornire un esempio di vulnerabilità o di come questo possa essere sfruttato.
Q: È sicuro dire che non pone una vulnerabilità, ma è solo una cattiva pratica?