Non mais le coup des cadenas ne s'applique pas, ici il n'y a qu'un aller. C'était juste pour dire qu'une sécurité faite par deux tiers ne doit pas être considéré comme deux sécurités à 50% mais comme une seule à 100% (disons 99.9999999)
Bien sûr il faudrait s'assurer qu'il n'y ait aucune injection, c'est la priorité. (de toute façon je fais confiance au W3C pour en savoir plus long que nous ^^).
Ici on n'est pas dans un modèle avec un facteur (pour les colis). C'est A qui offre la possibilité de faire partir une requête vers un domaine B. Si une injection tente d'envoyer des paquets à un domaine C, le navigateur l'interdit car C ne fait pas partie de la whitelist de A. (dans mon idée donc, pas dans CORS)
Je me place dans la position ou le pirate cherche à faire envoyer des informations à un tiers (son serveur perso). CORS permet de récupérer des informations depuis B si B autorise explicitement un domaine A à récupérer de l'info chez lui. Ces deux cas couvrent bien les termes d'un échange ou l'information va dans les deux sens. CORS seul empêche simplement les données de faire le chemin A <-- B mais pas A --> B
Mais le cas A --> B doit bien être couvert quelque part. J'ai regardé le code (très rapidement) dans l'article que j'ai posté, je n'ai pas trouvé.
Bien sûr il faudrait s'assurer qu'il n'y ait aucune injection, c'est la priorité. (de toute façon je fais confiance au W3C pour en savoir plus long que nous ^^).
Ici on n'est pas dans un modèle avec un facteur (pour les colis). C'est A qui offre la possibilité de faire partir une requête vers un domaine B. Si une injection tente d'envoyer des paquets à un domaine C, le navigateur l'interdit car C ne fait pas partie de la whitelist de A. (dans mon idée donc, pas dans CORS)
Je me place dans la position ou le pirate cherche à faire envoyer des informations à un tiers (son serveur perso). CORS permet de récupérer des informations depuis B si B autorise explicitement un domaine A à récupérer de l'info chez lui. Ces deux cas couvrent bien les termes d'un échange ou l'information va dans les deux sens. CORS seul empêche simplement les données de faire le chemin A <-- B mais pas A --> B
Mais le cas A --> B doit bien être couvert quelque part. J'ai regardé le code (très rapidement) dans l'article que j'ai posté, je n'ai pas trouvé.