Говорят, что вместо добавления всех доменов в CORS нужно добавить только набор доменов. Тем не менее иногда нет тривиального добавления набора доменов. Например. если я хочу публично выставлять API, то для каждого домена, который хочет сделать вызов этого API, мне нужно будет связаться с ним, чтобы добавить этот домен в список разрешенных доменов.
Я хотел бы сделать сознательное компромиссное решение между последствиями безопасности и меньшей работой.
Единственными проблемами безопасности, которые я вижу, являются DoS-атаки и CSRF атак. Атаки CSRF уже могут быть достигнуты с помощью элементов IMG и элементов FORM. Атаки DoS, связанные с CORS, можно преодолеть, заблокировав запросы в заголовке referrer.
Мне не хватает последствий для безопасности?
=== Изменить ===
- Предполагается, что заголовок
Access-Control-Allow-Credentials
не установлен - Я знаю, как добавить данный список доменов "CORS access", и поэтому меня интересуют только последствия безопасности для добавления всех доменов "доступ CORS".