Est-il sûr de définir la valeur d'en-tête «Contrôle d'accès autoriser» à la valeur d'en-tête «Origine» qui est implicitement définie par le navigateur?
Je testais un site Web et remarquais que la modification de la valeur de l'en-tête de "origine" d'une demande avec une application proxy interceptée dans l'application Web Envoi d'une réponse avec "Contrôle d'accès Autoriser l'origine" définie sur la même valeur modifiée. J'ai lu que l'en-tête d'origine est protégé par le navigateur et ne peut pas être changé. Je veux savoir s'il peut y avoir un risque potentiel associé à ce scénario.
Si le serveur reflète simplement l'origine fournie par le client dans l'en-tête d'origine d'accès à la commande d'accès sans autre vérification, il permet essentiellement à n'importe quel tiers d'accéder à l'origine de la ressource, c'est-à-dire que ce serait un problème de sécurité si L'accès à l'origine croisée doit être restreint.
Mais si cette mise en miroir n'est effectuée que après des contrôles supplémentaires, par exemple si le client est autorisé, cela est moins problématique. Bien qu'il puisse également y avoir des cas où cela peut être un problème aussi dans ce cas.
En résumé: s'il s'agit d'un problème ou non dépend des informations qui ne sont pas fournies dans la question.