Access-Control-Allow-Origin 在这种情况下好吗？

Question

我正在关注this tutorial 的某些部分，但我想知道使用“*”是否安全，或者我是否应该将其作为我的域名？

public class SimpleAuthorizationServerProvider : OAuthAuthorizationServerProvider
{
    public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
    {
        context.Validated();
    }

    public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
    {

        context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" });

        using (AuthRepository _repo = new AuthRepository())
        {
            IdentityUser user = await _repo.FindUser(context.UserName, context.Password);

            if (user == null)
            {
                context.SetError("invalid_grant", "The user name or password is incorrect.");
                return;
            }
        }

        var identity = new ClaimsIdentity(context.Options.AuthenticationType);
        identity.AddClaim(new Claim("sub", context.UserName));
        identity.AddClaim(new Claim("role", "user"));

        context.Validated(identity);

    }
}

Answer 1

这取决于您的具体用例。

理想情况下，您应该将其限制为尽可能少 - 如果可以，您自己的域（如果有多个域，则为域列表） - 但如果您需要允许对该 API 的公共访问，那么您将拥有允许“*”。

我还应该指出，您可以在非常精细的基础上设置 CORS 限制 - 例如对于每种方法，如果需要。请参阅下面来自 MS 文档的示例：https://docs.microsoft.com/en-us/aspnet/core/security/cors

[HttpGet]
[EnableCors("AllowSpecificOrigin")]
public IEnumerable<string> Get()
{
  return new string[] { "value1", "value2" };
}