我们目前已在服务器上启用CORS,并且仅允许通过CORS允许某些来源,标头和方法。
我们计划允许在CORS上允许所有标头,即,将EnableCorsAttribute.Headers设置为*。
我应该注意任何安全隐患/风险吗?
谢谢
答案 0 :(得分:0)
您不应该仅将*用作cros域,而应从diffrenet的理由出发, 出于安全考虑,并非默认情况下并非所有浏览器都允许使用通配符(*), 因此,您应该只在允许的情况下返回传入请求的地址。
如果您要提供对所有人开放的服务,那么这就是您应该做的,否则,您会发现您对所有人开放。