Я создаю API, который предназначен для использования приложениями iOS/Android. Приложение использует веб-токен JSON для аутентификации пользователей. Я столкнулся с проблемами CORS при попытке поговорить с API из собственного приложения. Поэтому я добавил заголовки CORS для ВСЕХ источников (только для URL-адресов, начинающихся с /api/
). Теперь он работает нормально, но мне интересно, не является ли то, что я сделал, потенциальной уязвимостью?
Должен ли я разрешать ВСЕ источники? Если API будет запрашиваться нативными приложениями, можно ли заранее узнать хост Origin?
Я совсем запутался. Заранее спасибо за помощь.