漏洞概述 标题: Hardcoded Wildcard CORS (Access-Control-Allow-Origin: ) CVE ID: CVE-2024-34337 严重程度: Moderate (6.1/10) 描述: Java SDK 中硬编码了通配符 CORS 策略 ( ),允许任意跨域请求。 攻击场景: 攻击者控制的网页可指示受害者浏览器向 发送 GET 请求。由于 允许跨域 SSE 读取,攻击者页面可接收包含 session ID 的 endpoint 事件,然后利用受害者浏览器作为中继向该端点 POST 数据。 --- 影响范围 --- 修复方案 > 传输层不应拥有 CORS 策略。需要跨域访问的服务器实现者应在 servlet 过滤器或 Spring Security 层添加 CORS 过滤器。 --- 参考对比 Python SDK 未发出 头,浏览器默认同源策略保持完整生效。