如果服务器配置了不安全的 Access-Control-Allow-Origin(如使用 * 或动态匹配请求的 Origin),并且允许携带凭证(Access-Control-Allow-Credentials: true),攻击者可以在恶意网站发起跨域请求并成功读取服务器响应,导致用户的敏感数据被窃取或恶意操作得以执行。 CORS漏洞与其他漏洞(如CSRF或XSS)组合使用时,会大幅提升攻击的破坏力,形成以下主要危害: 跨域数据窃取、身份盗用和会话劫持、绕过CSRF防御机制、数据操纵与业务逻辑篡改