gpt4 book ai didi

cors - OWASP CORS 建议中的矛盾

转载 作者:行者123 更新时间:2023-12-05 01:07:35 28 4
gpt4 key购买 nike

OWASP site 上看到这个矛盾,我感到很困惑。 CORS 备忘单:

  • 使用 Access-Control-Allow-Credentials: true 响应 header 时要特别小心。将允许的来源和 列入白名单从不回显 Origin 请求 header 在访问控制允许来源。
  • 在 Access-Control-Allow-Origin header 中仅允许选定的受信任域。首选将域列入白名单而不是列入黑名单或允许任何域(通过 * 通配符或 回显 Origin header 内容 )。

  • 有很多信息漂浮在那里你 应该 回显 Origin 请求 header ,因此除了使用 * 通配符的公共(public) API 之外,我无法想象不这样做的原因。我的观点是,如果您按照此处的建议将源域的域列入白名单,那么您可以防止欺骗 Origin header 。我错过了什么吗?这只是那个备忘单上的错字吗?

    最佳答案

    我认为第二条建议措辞不佳。他们都说你应该避免回显Origin。标题。通过“回声”,我认为他们的意思是盲目地把 Origin 的值放在一起。 Access-Control-Allow-Origin 中的标题 header ,没有任何中间检查(例如白名单)。另请注意,这些是建议而非绝对规则,应从您的需求角度进行解释。 API 越开放和公开,* 就越容易接受。值(value)是。

    关于cors - OWASP CORS 建议中的矛盾,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18366257/

    28 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com