Access-Control-Allow-Originにlocalhostを指定することで生じる問題
Same-Origin Policyが無い場合に起きる問題の例と同じ
登場人物
攻撃者X
攻撃者の作ったサイトXS
https://localhost:3000
被害者A
攻撃対象のサイトS
https://S.com
我々が今から開発しようとしているserverのこと
Access-Control-Allow-Origin: 'https://localhost:3000'になっている
攻撃者Xは、例えば展示会に行き、自分のPCでlocalhostを立ち上げて、Aに触らせる
とすれば、問題が起きる
そんな機会、ほぼない気がするが、ありえるっちゃありえるmrsekut.icon
requestに認証をかけるなどしてれば問題ない
これはCORSとは別の文脈の話