Un'applicazione a cui sto lavorando risponde a un'intestazione Origin con caratteri jolly impostando Access-Control-Allow-Origin su subdomain.app.com se termina con .app.com .
Tuttavia, se aggiungo .app.com a una variabile GET, come di seguito:
Origin: example.com?q=.app.com
risponde con il seguente:
Access-Control-Allow-Origin: example.com?q=.app.com
Questo è vulnerabile se i browser possono essere configurati per passare la variabile GET o l'intero URL.
Mi chiedo se alcuni browser inviino l'intestazione Origin insieme all'intero URL o se JavaScript può essere configurato per consentire ciò. Dai miei test su Chrome / Firefox ho impostato l'intestazione Origin solo su tld, qualcuno sa se questa configurazione è vulnerabile?