类型: 安全缺陷 HTML5 支持通过JavaScript进行跨域访问数据,如果CORS策略过于宽松,攻击者就能有可能与应用程序进行通信,从而导致信息泄露,欺诈等其他攻击。例如:下列配置文件中设置了endpoints.cors.allowed-origins为*,表明该应用程序的数据可供在任何域上运行的 JavaScript 访问。 endpoints.cors.allowed-origins = *
