「Access Control Allow Origin」ヘッダー値を、ブラウザーによって暗黙的に設定される「Origin」ヘッダー値に設定しても安全ですか?
Webサイトをテストしていたところ、代行受信プロキシアプリケーションを使用してリクエストの「Origin」ヘッダーの値を変更すると、「変更されたアクセス制御許可」が同じ変更された値に設定されたWebアプリケーションが応答を送信することに気付きました。 Originヘッダーはブラウザーによって保護されており、変更できないと読みました。このシナリオに関連する潜在的なリスクがあるかどうかを知りたいです。
サーバーがクライアントから提供されたオリジンを応答のAccess-Control-Allow-Originヘッダーにミラーリングするだけで、それ以上のチェックは行われず、サードパーティがリソースのクロスオリジンにアクセスすることを基本的に許可します。つまり、クロスオリジンアクセスは制限する必要があります。
ただし、このミラーリングが追加のチェック後にのみ行われる場合、たとえばクライアントが承認されている場合のみ、これは問題の少ないものです。この場合も問題となる場合もありますが。
要約すると、これが問題であるかどうかは、質問で提供されていない情報に依存します。