De forma predeterminada, Amazon S3 bloquea las solicitudes de origen cruzado. Sin embargo, permite a los usuarios la posibilidad de configurar políticas CORS por grupo. Ofrece controles bastante elaborados para los dominios y métodos que el usuario desea habilitar.
Para mí, estos valores predeterminados conservadores y ajustes precisos sugieren que hay alguna razón por la que no quiero dejar que todos mis cubos respondan con Access-Control-Allow-Origin: *
, pero por mi vida no puedo pensar en una De una sola manera se podría abusar.
S3 ya proporciona una política de ACL bastante elaborada, y los usuarios no pueden autenticarse a través de cookies (que yo sepa), por lo que el problema no parece ser que las personas obtengan información a la que no deberían poder acceder.
S3 también proporciona una forma completamente separada para bloquear el acceso a ciertos dominios por completo, incluso para etiquetas de imagen antiguas, por lo que no parece ser un problema de hotlinking.
¿Existe algún riesgo para una política de CORS súper abierta?