該標籤下有 1 篇文章
CORS 是瀏覽器用來控制「其他來源的 JS 能否讀取自己 API 回應」的機制。設定錯誤=反射任意 Origin,或把 Access-Control-Allow-Origin:* 與認證資訊同時使用,會導致第三方網站讀取到已登入資料。核心防禦是採用白名單方式、不要不加判斷地反射 Origin、預設拒絕。