我打算为我的网站添加CORS支持。首先,我想只允许某些预定义的白名单来源。我的问题是,由于我的网站总是需要通过授权标题进行显式基本身份验证,我想知道,安全方面,如果有白名单(而不是允许所有)来源有任何目的吗?
我的观点是,因为AJAX调用需要明确指定授权标头,所以白名单似乎是一个没有实际意义的点。如果网络钓鱼站点知道基本身份验证,那么它可以直接与我的站点通信。如果他们不知道,AJAX呼叫无论如何都不会起作用(未经授权)。据我所知,如果不同的来源,Chrome / IE将不会发送缓存的基本身份验证。
我错过了什么吗?