因此,任何网站都可以代表其访问者向您的网站发出请求,并处理其响应。如果您的实施方式类似于基于浏览器自动提供的某种身份验证或授权方案(Cookie,基于Cookie的会话等),第三方网站触发的请求也会使用它们。
这确实带来了安全风险,特别是如果您允许资源共享不仅仅是针对所选资源,而是针对每个资源。在这种情况下,你应该看看When is it safe to enable CORS?。
因此,任何网站都可以代表其访问者向您的网站发出请求,并处理其响应。如果您的实施方式类似于基于浏览器自动提供的某种身份验证或授权方案(Cookie,基于Cookie的会话等),第三方网站触发的请求也会使用它们。
这确实带来了安全风险,特别是如果您允许资源共享不仅仅是针对所选资源,而是针对每个资源。在这种情况下,你应该看看When is it safe to enable CORS?。
