Tengo un servidor web backend que sirve una API (a través de HTTPS) a un cliente de navegador frontend en un subdominio diferente. Utiliza CORS para permitir esto.
La especificación CORS le indica que no envíe los encabezados CORS si el origen no está presente o no coincide con su lista de orígenes permitidos, que yo hago.
Pero Sección 6.3 agrega que:
Además de verificar el encabezado de Origen, se recomienda encarecidamente a los autores de recursos que también verifiquen el encabezado de Host. Es decir, asegúrese de que el nombre de host proporcionado por ese encabezado coincida con el nombre de host del servidor en el que reside el recurso. Esto proporcionará protección contra los ataques de reenlace del DNS.
¿Esto es valioso para agregar a nuestro servidor de API? Según tengo entendido, la renovación de DNS es un ataque que realizarías para acceder a algo en un sistema local como un enrutador, por lo que no estoy seguro de si eso se aplica a nosotros.
Si debemos verificar el encabezado Host
, ¿qué acción debemos tomar? ¿Simplemente no devuelve los encabezados de CORS o rechaza la solicitud por completo? La primera opción tiene más sentido para mí, ya que de lo contrario la recomendación no pertenecería a una especificación CORS, pero el documento no está claro.