Можно ли настроить серверную часть CORS, чтобы разрешить доступ к приложениям Ionic / Cordova / WKWebView без ущерба для безопасности?

Question

Мои клиенты используют приложение Ionic / Cordova, которое использует WKWebView, мне нужно включить серверную часть CORS, чтобы мои клиенты могли взаимодействовать с моим сервером.

Я могу сделать это, разрешиввсе домены, отправив соответствующий заголовок Access-Control-Allow-Origin: * или занеся в белый список localhost:8100, но в любом случае это не наносит ущерба цели безопасности?

Может быть, я что-то упускаю, но если мне нужноразрешить доступ для любого localhost для размещения клиентов, работающих на WKWebView, что может помешать злоумышленнику запустить вредоносный код, который в результате может свободно взаимодействовать с моим сервером?

Любое понимание высоко ценится.

Answer 1

Сторона приложений:

Ваш клиент не должен открывать CORS своего приложения для всего модна, потому что в противном случае злоумышленники могут сделать инъекцию данных для отправки данных из приложения на чужой сервер.

Поэтому он должен активировать CORS только для таких доверенных вам людей.

На стороне сервера:

Затем, чтобы вернуться к вашей проблеме, теперь вы должны разрешить серверу принимать запросы CORS.

Например, если ваш сервер представляет собой API C #, вы должны добавить префикс к классу контроллера следующим образом:

[EnableCors(origins: "*", headers: "*", methods: "*")]

Если вы используете другую технологию, вы легко найдете информацию в ее документации.