有些 HTTP 请求需要身份验证,有些请求则不需要,但如果使用
{ credentials: "include" }
不是漏洞,为什么不始终保留 "include"
值呢?
凭证本质上是敏感的。如果您可以减少发送凭据的位置数量,那么风险就会降低。此外,跨源请求必须特别允许包含凭据,如果其他源不选择这样做,则
credentials: include
将导致请求失败。
我认为最小权限原则在这里有些适用:https://en.wikipedia.org/wiki/Principle_of_least_privilege