Risiken und Chancen
Ratgeber: HTML5 sicher einsetzen
Zugriffskontrolle je nach Header
Der HTTP-Header-Eintrag Access-Control-Allow-Origin setzt ein gewisses Vertrauen voraus - und wer das nicht richtig einschätzt, kann unter Umständen in Teufels Küche kommen.
Der Header legt nämlich nur fest, dass die HTTP-Anfrage von der festgelegten Domain kommen darf - er garantiert nicht, dass sie es auch tut. Der Zugriff könnte zum Beispiel auch von einem Perl-Skript kommen, das die Original-Domain vortäuscht. Deshalb gilt die eiserne Regel: Nicht authentifizierten Cross Origin Requests sollten Sie niemals vertrauen.
Sobald es um die Übermittlung sensibler Daten geht, sollte die Anfrage unter Verwendung der credentials-Schalter erfolgen. Außerdem muss ein Cookie mit der gültigen Session-ID des Nutzers übertragen werden. Erst nach Prüfung des Cookies darf die COR ausgeführt werden.