ruby-on-rails - 有什么危害<allowedorigin>*</allowedorigin>在 CORS 配置中？

我有一个使用 ActiveStorage/S3 管理附件的 Rails 应用程序。其中一些需要在我的客户端下载和执行的附件是 .js 文件。

当我最初尝试下载这些资产时，我遇到了一个与 CORS 相关的错误，我通过将 CORS 配置添加到我的 S3 存储桶来解决这个问题，按照这个答案。

配置包括线路

<AllowedOrigin>*</AllowedOrigin>

这条线让我有些紧张。我想将资产保密。它们位于无法公开访问的存储桶中，并且我的 rails 应用程序的用户必须经过身份验证才能重定向到它们。

在 CORS 配置的上下文中，我不清楚这条线的确切含义。它会损害我的附件的安全性吗？命名一个特定的来源，而不是允许所有来源，会使我的附件更安全吗？

标签： ruby-on-railsamazon-s3corsrails-activestorage

由于我不知道您对.js以这种方式发送文件的需求和限制，我建议您查看此线程。

它会损害我的附件的安全性吗？命名一个特定的来源，而不是允许所有来源，会使我的附件更安全吗？

我不这么认为。跨域标头在 Web 浏览器中检查（更多信息在这里），但它不会阻止来自 Postman 或 cURL 等其他服务的调用。.js因此，您的应用程序无论如何都必须确保这些文件的安全性。如前所述，即使 Web 浏览器决定不使用内容，内容实际上也会被下载。

Viva Cristo Rei。

ruby-on-rails - 有什么危害*在 CORS 配置中？