移动应用程序的 CORS 安全性

Question

我们需要通过 CORS 限制来保持 API 服务器的安全性：

Access-Control-Allow-Origin : http://myonlinesite.com

但我们还需要我们的移动应用 (Android+iOs) 可以访问此 API。

我找到的所有解决方案都告诉我允许所有来源：*，但这对我们的 API 来说将是一个重大的安全故障。

我们正在使用 Cordova 构建我们的应用程序，WebView 为本地文件提供服务，因此发送：origin: null，用于其所有 http(s) 请求。所以我们正在考虑将null 添加到允许的来源。更好，因为它会阻止所有其他网站尝试获取我们的 API，但它会允许任何移动应用程序获取它...

有没有更有趣的解决方案？

谢谢！

Answer 1

所以我们正在考虑将 null 添加到允许的来源。这更好，因为它会阻止所有其他网站尝试获取我们的 API，但它会允许任何移动应用程序获取它...

如果你这样做了，那么你就允许来自 any 非 http/https 源的 JavaScript 代码的请求——这包括任何从 file:// 甚至 data: 运行任何东西的人网址。

因此，如果您出于“安全”原因使用限制性 CORS 策略，那么发送带有 Access-Control-Allow-Origin: null 标头的响应听起来是个很糟糕的主意。

---

我们需要通过 CORS 限制来保持 API 服务器的安全性： 我找到的所有解决方案都告诉我允许所有来源：*，但这对我们的 API 来说将是一个很大的安全故障。

您没有解释为什么您确定这将是安全故障，或者为什么您根本需要制定限制性 CORS 政策。但是除非 (1) API 服务器在 Intranet 中或其他类型的防火墙后面运行，并且 (2) 对资源的访问仅受 IP 身份验证的限制，否则您不会从使用限制性 CORS 策略中获得任何收益. To quote the spec:

基本安全 CORS 协议设置

对于通过 IP 身份验证或防火墙保护数据的资源（不幸的是，仍然相对常见），使用 CORS 协议是不安全的。 （这就是必须发明 CORS 协议的原因。）

但是，否则使用以下标头是安全的：

Access-Control-Allow-Origin: *

即使一个资源暴露了基于 cookie 或 HTTP 认证的附加信息，使用上面的 header 也不会暴露它。它将与XMLHttpRequest 等API 共享资源，就像它已经与curl 和wget 共享一样。

因此，换句话说，如果无法从使用curl 和wget 连接到网络的随机设备访问资源，则不包含上述标头。但是，如果可以访问它，那么这样做是完全可以的。

Answer 2

正如sideshowbarker 的回答中所指出的，如果可以在浏览器上下文中打开应用程序，则不能认为使用Access-Control-Allow-Origin: null 是安全的。但是，对于在其自己的专用 Web 视图中运行的应用程序，它不会带来安全风险。

同源策略（CORS 扩展）专为特定类型的威胁而设计：来自外部域的脚本，在浏览器中运行，向您的服务器发送包含您的授权 cookie 的请求。但是，如果您在专用的 WKWebView 中运行您的应用程序，那么将不会有任何外部脚本能够使用您的 cookie 向您的服务器发出请求。