JASIG CAS CORS Was sollte passieren, wenn Origin == "null" ist?

Question

Ich verwende einen CAS-Server, um meine Spring-Anwendungen zu sichern, die REST- und HttpInvoker-APIs enthalten. Wenn eine Anwendung zu einem CAS-Server in einer anderen Domäne umleitet, erhalten wir CORS "Probleme". Ich habe den eBay Cors-Filter https://github.com/eBay/cors-filter den Anwendungen und dem CAS-Server hinzugefügt.

jedoch ...

, wenn die Anwendung für die Authentifizierung mit dem CAS-Server umleitet, werden die Origin-Header geändert 'null'. Dies ist auf einen "datenschutzsensitiven" Kontext zurückzuführen, der in der CORS-Spezifikation erwähnt wird (Seite 14, Abschnitt 7.3).

... und jetzt endlich ... die Frage!

Wenn der Server einen Origin-Header von 'null' empfängt, kann er wie gewohnt fortfahren und nur 'Null' im Header Access-Control-Allow-Origin zurückgeben?

Macht das etwas kaputt?

Ist es unsicher?

Prost

Answer 1

Ja, ich glaube, Sie null oder die Wildcard * zurückkehren kann jeder Herkunft zu ermöglichen.

Macht das irgendwas kaputt?

Wenn Sie nur null zurückkehren, wenn Origin: null empfangen wird, dann sollte es nicht noch etwas beeinflussen.

Ist es unsicher?

Ich bin mit CAS nicht vertraut, aber solange man nicht Access-Control-Allow-Credentials auch das Senden ist, und Ihr CAS wird nicht nur durch IP oder über das lokale Netzwerk beschränkt, dann ist diese Öffnung nicht Ihr System mehr als der anonyme Zugriff tut. Technische Details finden Sie unter this answer.

Wenn dies der Fall ist, ermöglicht die Einstellung Access-Control-Allow-Origin anderen Domains und Quellen, Daten von CORS zu lesen, die der Benutzer mit seinen Cookies für CAS aufruft.