该标签下有 1 篇文章
CORS 是浏览器用来控制「其他源的 JS 能否读取自己 API 响应」的机制。配置错误=反射任意 Origin,或把 Access-Control-Allow-Origin:* 与认证信息同时使用,会导致第三方网站读取到已登录数据。核心防御是采用白名单方式、不要不加判断地反射 Origin、默认拒绝。