将 Access-Control-Request-Headers 设置为 * 都有哪些安全风险? [复制]

Posted

技术标签:

【中文标题】将 Access-Control-Request-Headers 设置为 * 都有哪些安全风险? [复制]【英文标题】:What are the security risks of setting Access-Control-Request-Headers to *? [duplicate]将 Access-Control-Request-Headers 设置为 * 有哪些安全风险? [复制] 【发布时间】:2019-08-19 18:06:16 【问题描述】:

我们目前在服务器上启用了 CORS,并且只允许某些来源、标头和方法通过 CORS。

我们计划允许所有标头通过 CORS,即将 EnableCorsAttribute.Headers 设置为 *。

是否有任何我应该注意的安全问题/风险?

谢谢

【问题讨论】:

【参考方案1】:

您不应该仅仅将 * 用作跨域,而是出于您可能认为的不同原因, 出于安全原因,并非所有浏览器默认都允许使用通配符 (*), 所以你应该只返回你传入请求的地址。

如果您提供的是对全世界开放的服务,那么这就是您应该做的,如果不是,请注意您是对全世界开放的。

【讨论】:

以上是关于将 Access-Control-Request-Headers 设置为 * 都有哪些安全风险? [复制]的主要内容,如果未能解决你的问题,请参考以下文章

如何将thinkcmf导入eclipse

如何将Ios文件上传到

Javascript 将正则表达式 \\n 替换为 \n,将 \\t 替换为 \t,将 \\r 替换为 \r 等等

如何将视频文件转换格式

sh 一个将生成CA的脚本,将CA导入到钥匙串中,然后它将创建一个证书并与CA签名,然后将其导入到

python怎么将0写入文件?