¿Es posible que un atacante falsifique el encabezado de Access-Control-Allow-Origin?
O, ¿es lo suficientemente seguro para proteger el acceso a los recursos a través del encabezado Access-Control-Allow-Origin?
Estoy intentando hacer que una clave de API sea inútil en ciertos dominios, como el enlace en JS API.
Si un atacante puede controlar el encabezado de acceso-control-permitir-origen, puede llevar a cabo ataques mucho peores que solo modificar este elemento de encabezado. Por ejemplo, un atacante podría llevar a cabo un ataque de Man in the Middle, pero los tokens de autenticación, como las cookies, son un objetivo más deseable.
Un atacante podría introducir su propio encabezado access-control-allow-orign utilizando HTTP Response Splitting, pero en este punto pueden controlar todo el encabezado y el cuerpo. Un "allow-orign" no ayuda con toda la política del mismo origen se ve socavado por una vulnerabilidad XSS.
Lea otras preguntas en las etiquetas http javascript