¿Devuelve Access-Control-Allow-Origin: * debilita la seguridad de las respuestas JSON GET?

Esto ya lo entiendes: La idea principal aquí es que los elementos del script ( <script src="http://example.com/myscript.js">)noestánsujetosarestriccionesdelmismoorigen.Porlotanto,unsitiopuedecargarcualquierURLdelscriptyejecuteesescript(siemprequeelscriptnorequieracredencialesoelnavegadortengalascredencialesnecesariasparaaccederalscript).Sinembargo,elnavegadornopuedeleerunscriptcargadoenunelemento<script>.

PuedereformularlarecomendacióndeW3Ccomo:

  

Sitodalainformacióndeunrecursosepuedeobtenerejecutandoelrecursocomounasecuenciadecomandos,puedeagregarlibrementeAccess-Control-Allow-Origin:*.

Porlotanto,JSONsinformatonocumpleconesterequisito.Siejecutaelscript:

(["foo", 5, 7])

entonces no se agrega información al entorno de ejecución. (Hace unos años, podría tener, por redefiniendo el Array constructor , pero los navegadores modernos han eliminado esta vulnerabilidad.)

Sin embargo, el script

window.secrets = ["foo", 5, 7];

hace realiza un cambio observable en el entorno de ejecución. También puede permitir que cualquier página obtenga el contenido del recurso a través de Ajax, ya que no contiene información que la página no pueda aprender ejecutando el script en un elemento <script> .

La frase "comentarios confidenciales" se refiere a los comentarios reales del código JavaScript ( /* e.g., like this */ ). Los comentarios no se pueden leer en una ejecución <script> , pero se podrían leer al acceder al contenido del script a través de Ajax. Por ejemplo, el script:

// by the way, the fourth secret is "bar"
window.secrets = ["foo", 5, 7]

filtra la misma información que en el ejemplo anterior cuando se ejecuta en una etiqueta <script> , ya que el comentario solo es visible cuando se ve el texto del script real.

Si el recurso requiere credenciales de OAuth y no acepta credenciales de cookies, sección 4 indica:

  

las solicitudes deben establecer el indicador de omitir credenciales y los recursos deben realizar la autorización utilizando tokens de seguridad explícitamente proporcionados en el contenido de la solicitud

Las solicitudes de origen cruzado a través de elementos de secuencia de comandos HTML nunca incluirían credenciales de OAuth, y esas solicitudes fallarán en la autorización independientemente del valor del encabezado Access-Control-Allow-Origin de la respuesta.

Si el recurso requiere credenciales y verificación previa, la respuesta de verificación previa también debe servirse con Access-Control-Allow-Credentials: true . Si el servidor no envía ese encabezado, un sitio no puede enviar una solicitud con credenciales de varios dominios para leer el contenido del script. Por lo tanto, Access-Control-Allow-Origin: * no debilita la seguridad del recurso protegido por credenciales, porque las credenciales para el dominio de destino no se enviarán a través de Ajax a menos que el servidor también establezca Access-Control-Allow-Credentials: true .

Si el recurso requiere credenciales pero no verificación previa, las credenciales se enviarán en la solicitud antes de que el servidor tenga la oportunidad de incluir Access-Control-Allow-Credentials: true en la respuesta. El resultado final es el mismo: el navegador no compartirá la respuesta con el contenido web de origen cruzado que realiza la solicitud, sino por diferentes motivos.

Sección 6.1 dice:

  

La cadena "*" no se puede usar para un recurso que admita credenciales.

Y la verificación de recursos compartidos pasaría por el paso 2 de sección 7.2 y falla en el paso 3:

  

2. Si el valor del encabezado de Access-Control-Allow-Origin es el carácter "*" y se establece el indicador de omitir credenciales, se devuelve el pase y finaliza este algoritmo.
  
3. Si el valor de Access-Control-Allow-Origin no es una coincidencia entre mayúsculas y minúsculas para el valor del encabezado de origen como se define en su especificación, la devolución falla y termina este algoritmo.