Я разрабатываю веб-API JSON/REST, для которого я специально хочу, чтобы сторонние веб-сайты могли вызывать мою службу через AJAX. Следовательно, моя служба отправляет знаменитый заголовок CORS:
Access-Control-Allow-Origin: *
, что позволяет сторонним сайтам вызывать мою службу через AJAX. Пока все в порядке.
Тем не менее, часть моего веб-API не является общедоступной и требует аутентификации (довольно стандартные вещи с OAuth и файлом cookie access_token). Безопасно ли включать CORS и в этой части моего сайта?
С одной стороны, было бы здорово, если бы у сторонних веб-сайтов были клиенты ajax, которые также взаимодействовали бы с этой частью моего сервиса. Однако причина того, что в первую очередь существует одинаковая политика происхождения, заключается в том, что это может быть рискованно. Вы не хотите, чтобы какой-либо веб-сайт, который вы посещаете впоследствии, имел доступ к вашему личному контенту.
Сценарий, которого я опасаюсь, заключается в том, что пользователь входит в мой веб-API либо на веб-сайте, либо через веб-сайт, которому он доверяет, и забывает выйти из системы.Позволит ли это любому другому веб-сайту, который он посещает впоследствии, получить доступ к его личному контенту, используя существующий сеанс?
Итак, мои вопросы: