Dangers liés à l’autorisation de contrôle d’accès: * pour les flux uniquement?
Je souhaite utiliser une fonction comme celle-ci pour permettre l'accès aux flux de divers services, mais ma connaissance des implications en matière de sécurité est limitée. Je pense que je suis en sécurité en limitant l'accès aux flux.
Quels sont les dangers (le cas échéant) que je crée si je le fais?
add_action( 'pre_get_posts', 'add_header_Origin' );
function add_header_Origin() {
if (is_feed()){
header( 'Access-Control-Allow-Origin: *' );
}
}
Vous devez avoir une super bonne raison de désactiver CORS car aucune raison réelle n’a été donnée ici, la réponse devrait être "ne le faites pas, ce n’est pas sécurisé".
Vous supposez que personne ne peut créer un lien de flux qui lui donnera un accès en écriture. Cela peut être vrai, mais vous ne devez pas ouvrir de failles dans votre sécurité en vous basant sur "supposer".
À tout le moins, si un autre domaine nécessite un accès "AJAX" à vos flux, vous devez désactiver CORS uniquement pour ce domaine spécifique.
De plus, pre_get_posts est totalement le mauvais endroit pour le faire, et vous devriez le faire le init. La manière dont votre code est actuellement écrit peut désactiver CORS pour les pages qui ne sont pas alimentées.
J'ai lu ce message comme disant que tant que je n'ai pas besoin d'informations d'identification de connexion (je ne suis pas), tout va bien.