什么时候可以安全启用CORS？

什么时候可以安全启用CORS？

在回答第二个问题时（如果启用了CORS的服务器通过cookie设置了session_token
…？），该cookie将保存在CORS服务器的域下。网页的JS代码即使通过也无法访问cookie

document.cookie

。cookie仅在

.withCredentials

设置了属性时才发送到服务器，即使那样，它也只有在服务器设置

Access-Control-Allow-Credentials

标头时才被接受。

您的第一个问题是更多开放的话题。它是相当安全的，但是有一些规避事物的方法。例如，攻击者可能使用DNS中毒技术，使预检请求命中实际服务器，但将实际CORS请求发送到恶意服务器。以下是有关CORS安全性的更多资源：

• http://pre.google.com/p/html5security/wiki/CrossOriginRequestSecurity
• owasp.org CORS备忘单

最后，您担心的是允许 任何 网站访问您的CORS数据。为了防止这种情况，您不应使用

Access-Control-Allow-Origin:*

标题。而是应回显用户的Origin值。例如：

Access-Control-Allow-Origin: http://www.example.com

此标头将仅允许

http://www.example.com

访问响应数据。