Каковы опасности <AllowedOrigin>*</AllowedOrigin> в конфигурации CORS?

Question

У меня есть приложение Rails, которое использует ActiveStorage / S3 для управления вложениями. Некоторые из этих вложений, которые необходимо загрузить и выполнить в моем клиенте, представляют собой файлы. js.

Когда я первоначально пытался загрузить эти ресурсы, я получил ошибку, связанную с CORS, которую я исправил, добавив конфигурацию CORS в мое хранилище S3, согласно этому ответу .

Конфигурация включает в себя строку

<AllowedOrigin>*</AllowedOrigin>

Эта строка заставляет меня немного нервничать. Я хочу сохранить активы в тайне. Они находятся в ведре без доступа publi c, и пользователи моего приложения rails должны пройти аутентификацию, чтобы быть перенаправленными на них.

Мне неясно, что именно означает эта строка, в контексте конфигурации CORS. Скомпрометирует ли это безопасность моих вложений? Будет ли указание указанного c источника вместо разрешения всего сделать мои вложения более безопасными?

Answer 1

Поскольку я просто не знаю ваших потребностей и ограничений при отправке файлов .js таким способом, я рекомендую вам проверить эту тему .

Будет это ставит под угрозу безопасность моих вложений? Будет ли указание указанного c источника вместо того, чтобы разрешать все, сделать мои вложения более безопасными?

Я так не думаю. Заголовок Cross-Origin проверяется в веб-браузерах ( подробнее здесь ), но он не блокирует вызовы от других сервисов, таких как Postman или cURL. Таким образом, ваше приложение должно обеспечить безопасность этих файлов .js в любом случае. Как уже было сказано, контент фактически загружается, хотя веб-браузер решает его не использовать.

Viva Cristo Rei.