Laravel 我可以忽略此热点安全警报吗？

我在试声纳云

我在这里分析了这个项目：

这是一个PHP项目（使用Laravel框架）。如您所见，有一个“安全热点”。关于“config/cors.php”文件

---

由于我不是专家，我想知道我是否可以忽略这个警报。或者恰恰相反，尤其不是

老实说，我对SonarCloud并不熟悉，但正如我从中看到的，下面有一个通配符

'allowed_origins' => ['*'],

这意味着系统会提醒您稍后（在生产部署之前）修复/更改该问题。 实际上，这不是一个安全问题（在代码片段下有关于这一点的解释，有3个选项卡：“风险是什么？”、“您有风险吗？”、“您如何解决它？”）

如果您的代码是公共的，并且您不想在代码中发布您的实际域/主机，那么您可以保持现在的状态，或者为您的localhost设置它。 这些方法可能会隐藏安全警报

'allowed_origins' => [ 'http://localhost:8080' ],
# or your specific virtual host for your case, like "http://example.site"

但对于生产，你也可以用某种方式来限制，比如

'allowed_origins' => [ 'https://example.com' ],

或者，您可以在该阵列中同时使用这两种：

'allowed_origins' => ['http://localhost:8080', 'https://example.com'],

“allowed_origins”表示允许访问资源的“origins”（这里的origin是指URL的scheme、domain和port的组合）。它还允许通配符匹配（例如.*example.com将允许example.com及其任何子域访问资源）。默认情况下，它设置为允许所有原点。换言之，此选项指定应允许哪些源请求。 不使用通配符时，必须完整指定原点（例如，有效，example.com无效）

---

要了解更多信息，请阅读以下内容：，

您的解释非常清楚。谢谢布尔费尔斯。

'allowed_origins' => ['http://localhost:8080', 'https://example.com'],