面試的時(shí)候被問到CORS安全性問題，沒答上來，想請(qǐng)教下大家。CORS在服務(wù)器端設(shè)置了Access-Control-Allow-Origin，不設(shè)定為*，不是只有指定的域才能發(fā)起請(qǐng)求嗎，否則就被瀏覽器攔截了呀，有看到說http頭可以偽造，但是手動(dòng)設(shè)置Origin也會(huì)被瀏覽器阻止，請(qǐng)問CORS的漏洞到底在哪兒？有什么解決方案？謝謝