增加任意域可信检测
Baikeryoyo opened this issue · comments
baiker commented
https://github.com/saucer-man/CORScanner
saucer-man@3af8499
在网上看到了这个,有网友发现没有检测access-control-allow-origin为*的安全问题
Jianjun Chen commented
谢谢你的建议和 PR。但是 access-control-allow-origin: * 好像不能被利用,不能造成安全问题。因为所有浏览器都不接受 access-control-allow-origin: * 和 access-control-allow-credentials: true 的组合。
我之前的博客里有提到这个。不知道现在有没有出新的利用方法。
baiker commented
所以这个只算配置错误,不属于漏洞
Jianjun Chen commented
嗯,目前其它几类都直接安全危害。如果把这个加进去,可能会让人有些困惑,所以暂时先不加这个,不过还是谢谢你的建议。