Я чувствую, что в любое время, когда я вижу документацию по CORS, она рекомендует только иметь конфигурацию по умолчанию Access-Control-Allow-Origin: *
. Мне кажется, это отличный способ сделать ваш API теперь уязвимым для атак CSRF. Объяснение заключается в том, что одна и та же политика происхождения - это единственное, что останавливает запросы XHR в браузере от того, что конечные точки API полностью уязвимы для CSRF и что CORS по сути является обходом для SOP.Может ли чрезмерно разрешающая настройка CORS привести к CSRF?
Является ли моя логика звуком, что любой сайт с чрезмерно разрешимыми настройками CORS по существу раскрывает их API-интерфейс для CSRF-атак? Если это так, то это должно быть явно упомянуто в любое время, когда воспитывается CORS.