Estoy probando una API, que permite un origen arbitrario en las solicitudes POST
/ GET
, respondiendo con el encabezado CORS Access-Control-Allow-Origin: *
.
Sin embargo, con las solicitudes OPTIONS
y un origen arbitrario, el servicio web no responde con Access-Control-Allow-Origin: *
, no usa el encabezado de respuesta en absoluto.
Esto significa que cualquier solicitud de verificación previa de CORS con un origen arbitrario, fallaría.
No veo el punto de tener el encabezado de respuesta CORS para las solicitudes GET
/ POST
, pero no la solicitud OPTIONS
. Sin embargo, tampoco puedo proporcionar un ejemplo de una vulnerabilidad o cómo se puede explotar.
P: ¿Es seguro decir que no representa una vulnerabilidad, sino que es una mala práctica?