Laravel 我可以忽略此热点安全警报吗?
我在试声纳云 我在这里分析了这个项目: 这是一个PHP项目(使用Laravel框架)。如您所见,有一个“安全热点”。关于“config/cors.php”文件Laravel 我可以忽略此热点安全警报吗?,laravel,sonarcloud,Laravel,Sonarcloud,我在试声纳云 我在这里分析了这个项目: 这是一个PHP项目(使用Laravel框架)。如您所见,有一个“安全热点”。关于“config/cors.php”文件 由于我不是专家,我想知道我是否可以忽略这个警报。或者恰恰相反,尤其不是 老实说,我对SonarCloud并不熟悉,但正如我从中看到的,下面有一个通配符 'allowed_origins' => ['*'], 这意味着系统会提醒您稍后(在生产部署之前)修复/更改该问题。 实际上,这不是一个安全问题(在代码片段下有关于这一点的解释,有
由于我不是专家,我想知道我是否可以忽略这个警报。或者恰恰相反,尤其不是 老实说,我对SonarCloud并不熟悉,但正如我从中看到的,下面有一个通配符
'allowed_origins' => ['*'],
这意味着系统会提醒您稍后(在生产部署之前)修复/更改该问题。
实际上,这不是一个安全问题(在代码片段下有关于这一点的解释,有3个选项卡:“风险是什么?”、“您有风险吗?”、“您如何解决它?”)
如果您的代码是公共的,并且您不想在代码中发布您的实际域/主机,那么您可以保持现在的状态,或者为您的localhost设置它。
这些方法可能会隐藏安全警报
'allowed_origins' => [ 'http://localhost:8080' ],
# or your specific virtual host for your case, like "http://example.site"
但对于生产,你也可以用某种方式来限制,比如
'allowed_origins' => [ 'https://example.com' ],
或者,您可以在该阵列中同时使用这两种:
'allowed_origins' => ['http://localhost:8080', 'https://example.com'],
“allowed_origins”表示允许访问资源的“origins”(这里的origin是指URL的scheme、domain和port的组合)。它还允许通配符匹配(例如.*example.com将允许example.com及其任何子域访问资源)。默认情况下,它设置为允许所有原点。换言之,此选项指定应允许哪些源请求。
不使用通配符时,必须完整指定原点(例如,有效,example.com无效)
要了解更多信息,请阅读以下内容:,您的解释非常清楚。谢谢布尔费尔斯。
'allowed_origins' => ['http://localhost:8080', 'https://example.com'],