Estoy probando una aplicación que usa un widget. Estos widgets se colocan en los sitios web de los clientes para utilizarlos como una especie de dispositivo de clics de seguimiento y también devuelve algunos datos, por lo que es necesario usar CORS.
Por ejemplo, en la página del cliente contiene algo de JavaScript para http://widget.com/tracking.js y llama a http://widget.com/api/get_tracking , que finalmente obtiene datos y los devuelve a la página del cliente. Ahora, http://widget.com/api/get_tracking no contiene datos confidenciales, pero la cuenta para http://widget.com/account es, si eso importa.
Se usan para miles de clientes, por lo que no estoy seguro de si pueden codificar dinámicamente cada servidor para que confíe en los hosts, por lo que es lógico usar un comodín aquí. Sin embargo, sé que a Burp tampoco le gustan los comodines. Burp tomó esto como "Intercambio de recursos de origen cruzado: origen arbitrario de confianza".
La solicitud original es:
Origin: null (changing this to example.com)
Respuesta:
Access-Control-Allow-Origin: example.com
Access-Control-Allow-Credentials: true
Ahora, ya que necesitan usar CORS, ¿recomendarían cambiar Origin: * sería suficiente? Si no, está nulo bien o cuál es la implementación correcta para ellos.