JASIG CAS CORS Origin == "null"のときにどうしたらよいでしょうか？

Question

私はRESTとHttpInvoker APIを含むSpringアプリケーションを保護するためにCASサーバーを使用しています。

アプリケーションを別のドメインのCASサーバーにリダイレクトすると、CORS 「問題」が発生します。私はアプリケーションとCASサーバーにeBay Cors-Filter https://github.com/eBay/cors-filterを追加しました。しかしながら

...

アプリケーションが認証のためにCASサーバーにリダイレクト

は、Originのヘッダは、「NULL」に変更されます。これは、CORS仕様書（14ページ、7.3節）に記載されている「プライバシーに敏感な」コンテキストが原因です。

...そして今はやっと...質問です！

サーバが「null」のOriginヘッダーを受け取った場合、Access Control-Allow-Originヘッダーに「null」を返すだけで正常に処理できますか？

これは何か問題がありますか？

安全でないですか？

乾杯

Answer 1

はい、私はあなたが任意の起源を許可するようにnullまたはワイルドカード*を返すことができると信じています。

これは何か問題がありますか？

Origin: nullはそれが何かに影響を与えるべきではない受信されたときにのみnullを返却している場合。

安全ではありませんか？

私はしかし、限り、あなたはあまりにもAccess-Control-Allow-Credentialsを送信しておらず、CASはIPまたはローカルネットワークでのみ限定されるものではなく、あなたは、これはあなたを開かないように、CASに精通していませんよシステムは匿名アクセス以上に何もしません。技術的な詳細については、this answerを参照してください。

もしそうなら、Access-Control-Allow-Originを設定すると、他のドメインとオリジンは、ユーザーが訪問するCORSのデータをCAS用のCookieを使用して読み取ることができます。