1. 从安全角度出发，Access-Control-Allow-Origin请求头的推荐配置值是什么？ #

从安全最优的角度来说，绝对不推荐使用通配符*（除非你的接口完全不需要携带Cookie、HTTP认证信息这类凭证，并且完全公开给所有网站调用）。

最安全的做法是：

• 维护一个允许访问的域名白名单
• 动态校验请求头里的Origin值，如果该Origin在白名单内，就将Access-Control-Allow-Origin设置为这个具体的Origin值；如果不在白名单内，直接不返回这个响应头（或者返回错误状态码）

这种动态匹配的方式既能满足合法的跨域需求，又能严格限制未授权的域名访问你的接口。

2. 若禁止任何跨域请求访问我方域名，相关问题解答： #

1) Same-Origin是否为Access-Control-Allow-Origin头的有效值？ #

不是的，Same-Origin并不是CORS规范中定义的Access-Control-Allow-Origin合法取值。浏览器只会识别三种有效值：

• 具体的域名（比如https://mydomain.com）
• 通配符*
• null（仅适用于特定场景，比如本地文件协议file://的请求，且存在安全风险）

如果你返回Same-Origin作为该头的值，浏览器会直接判定为无效，跨域请求依然会被拦截。

2) 若是，该值从安全角度考量是否合适？ #

由于Same-Origin不是合法取值，这个问题不成立。

3) 若否，是否应将其硬编码为mydomain.com？ #

其实不需要硬编码。如果你的目标是禁止所有跨域请求，最直接且安全的做法是不返回Access-Control-Allow-Origin响应头。因为当浏览器发起跨域请求时，如果没有这个头，会直接遵循同源策略，拒绝该请求的结果。

如果硬编码为https://mydomain.com，效果其实和不返回头类似——只有来自mydomain.com的同源请求能正常访问，其他跨域请求的Origin不匹配，浏览器会拦截。但从规范和简洁性来说，不返回该头是更优的选择。

内容的提问来源于stack exchange，提问作者Noname