Проектът Node Security току-що пусна „консултации“ относно „внедряването на CORS в Sails“.
tldr; Ако използвате CORS във вашето приложение Sails, прегледайте конфигурацията си, за да се уверите, че е защитена.
Ако вашето приложение има уязвима конфигурация на CORS, има два начина да я разрешите:
- Или заменете
origin: '*'
с конкретен набор от домейни в белия списък - Или задайте
credentials: false
Вижте Концепции › Сигурност › CORS в документите на Sails за повече информация как работи CORS и как да го използвате.
Обърнете внимание, че не е задължително да надстроите до v0.12.7 — въпреки че, ако е възможно, това е много добра идея. От 0.12.7 Sails ще регистрира предупреждение, ако вдигнете приложението си в производство, когато бъдат открити уязвими настройки на CORS.
За повече информация относно този съвет вижте съответната дискусия в GitHub. Големи благодарности на Evan Johnson, @irond13, Scott Gress и Nick Starke за цялата им помощ!