CORS anyorigin 是否允许安全？ [复制]答案

【问题标题】：Is CORS anyorigin allowed safe? [duplicate]CORS anyorigin 是否允许安全？ [复制]
【发布时间】：2020-11-17 18:22:33
【问题描述】：

我刚刚检查了我们的新网站后端代码，我发现了这个：

services.AddCors(o => o.AddDefaultPolicy(builder =>
           {
               builder.AllowAnyOrigin()
                   .AllowAnyMethod()
                   .AllowAnyHeader();
           }));


services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme).AddJwtBearer(options =>
{
    options.TokenValidationParameters = new TokenValidationParameters
    {
        ValidateIssuer = true,
        ValidateAudience = true,
        ValidateLifetime = true,
        ValidateIssuerSigningKey = true,
        ValidIssuer = Configuration["Jwt:Issuer"], //--> AppSetting.Json
                    ValidAudience = Configuration["Jwt:Issuer"], //--> AppSetting.Json
                    IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:Key"]))
    };
});

安全与否？如果允许anyorigin，用户身份验证是否足够？

【问题讨论】：

标签： c# asp.net-core cors

【解决方案1】：

简短回答：没有

长答案：What are the security risks of setting Access-Control-Allow-Origin?

【讨论】：