Knowledge Base

Проверка CORS misconfiguration

Почему это неочевидно

Категория: Web App Security · Риск: high

Почему это неочевидно

CORS часто воспринимают как "настройку фронтенда", хотя ошибка в CORS может открыть браузерный доступ к приватному API с чужого сайта. Особенно опасна связка `Access-Control-Allow-Credentials: true` и отражение произвольного `Origin`.

Безопасный критерий

Для приватного API допустимы только конкретные origins продукта, например `https://app.example.com`. Для публичного API wildcard возможен только если endpoint не использует cookies, sessions, bearer tokens в браузере и не раскрывает персональные данные.