Безопасно ли использовать на сервере параметр «Access-Control-Allow-Origin: *» и использовать сеансовые файлы cookie одновременно?

Question

Я хочу разрешить клиентским приложениям отправлять междоменные запросы JSON на центральный сервер данных. Клиенты и сервер будут находиться в разных доменах.

Чтобы обойти «Происхождение null не разрешено Access-Control-Allow-Origin». ошибка, сервер установил:

Access-Control-Allow-Origin: *

заголовок.

Я вижу здесь (http://www.w3.org/wiki/CORS_Enabled), что междоменный домен должен использоваться только для «общедоступных данных, которые не требуют cookie или аутентификации на основе сеансов».

Не безопасно ли использовать аутентификацию на основе сеансов / файлов cookie при использовании заголовка Access-Control-Allow-Origin: *? Если нет, то почему?

Спасибо.

Answer 1

Наличие набора правил CORS Access-Control-Allow-Origin: * не является полным обходом политики одного и того же источника и, вероятно, безопасно.

Установка этого заголовка на каждой странице позволяет неаутентифицированные запросы ресурсов .Куки аутентификации неявным образом не включены в эти запросы, поэтому межсайтовый XHR не может использоваться, чтобы сказать;прочитайте свою электронную почту или прочитайте токены CSRF в удаленном домене, потому что для этих запросов потребуется cookie или токен на предъявителя.