У меня есть служба REST, которую я хочу защитить с помощью CORS. Клиентское приложение предоставляется domain.com , а служба REST - domain.com / service .
Служба REST отфильтровывает запрос в зависимости от заголовка источника или токена аутентификации. Это необходимое поведение.
Проблема возникает, когда пользователь вставляет локальную запись DNS (файл хоста в Windows) для domain.com и загружает вредоносный код с локального компьютера. В этом случае браузер отправит запрос с заголовком Origin , установленным на domain.com . Это обойдёт проверку происхождения, которая у нас есть. Как мы можем решить эту проблему?