矛盾OWASP CORS建議

cors
owasp

2013-08-21 100 views 4 likes

我不解的看着在OWASP site的cheatsheet這個矛盾的CORS：矛盾OWASP CORS建議

使用時要特別小心訪問控制允許的憑據：真正的響應頭。白名單允許的起源和永遠不會回訪Access-Control-Allow-Origin中的原始請求標頭。
只允許在Access-Control-Allow-Origin標頭中選定的可信域。優先將域名列入黑名單或允許任何域（通過*通配符或回顯Origin標頭內容）。

有一個漂浮在那裏，你應該回顯地請求頭，所以我不能像不這樣做，除了公共API的一個原因，你可以使用一個通配符*大量的信息。我的觀點是，如果您按照此處的建議將白名單的域名列入白名單，那麼您可以防止欺騙Origin標頭。我錯過了什麼嗎？這只是在該作弊表上的錯字？

來源

2013-08-21 occasl

回答

我認爲第二項建議措辭不佳。他們都說你應該避免回顯Origin標題。通過「回顯」，我認爲他們的意思是盲目地將Origin標題的值放在Access-Control-Allow-Origin標題中，而沒有任何中間檢查（例如白名單）。還請注意，這些建議並非絕對規則，應通過您的需求來解釋。 API越公開和公開，價值越高。

來源

2013-08-21 19:59:49 monsur

謝謝並同意。我在第一個項目符號中的「never」一詞中遇到了一些問題，如果您的API是針對性的，那麼顯然您應該回應起源。也許有人訪問可能會調整該聲明。 – occasl

相關問題

11. UIAlertView與UIActivityIndicator矛盾
12. Javascript：typeof和instanceof結果矛盾？
13. 矛盾輸出在Python
14. 框架與中心矛盾
15. 看似矛盾|：工作
16. 優先隊列矛盾
17. 函數定義矛盾
18. 矛盾的MySqlReader錯誤
19. JLS似乎自相矛盾
20. 錯誤：矛盾的聲明uint32_t的
21. AOV式誤差項：矛盾例子
22. 使2矛盾的方法在drawRect
23. IPv4校驗和與wireshark相矛盾
24. mkdir，file_exists：混淆和矛盾錯誤
25. 矛盾與emberjs和jQuery使用didInsertElement
26. GCC：相互矛盾的優化
27. assert_select預期自相矛盾（紅寶石）
28. HOST_CACHED_BIT和HOST_COHERENT_BIT是否相互矛盾？
29. 假設否定爲矛盾證明
30. 矛盾的問題在哪裏條款