**CORS 漏洞实验室 - 无需数据库** “CORS 漏洞实验室 - 无需数据库”是一个教育工具，旨在帮助安全爱好者和开发人员理解和利用跨域资源共享（CORS）配置错误。该实验室提供了一个动手实践的环境，用户可以在无需数据库设置的情况下探索各种 CORS 漏洞。 **主要特点：** 1. **任意来源信任：** - 应用程序配置为接受来自任何来源的 CORS 请求，这使其容易受到来自不受信任域的恶意脚本的数据窃取。 2. **不安全的正则表达式实现：** - 应用程序尝试使用正则表达式来匹配受信任的域以限制 CORS 请求。然而，由于不良的正则表达式实现，它意外地允许来自包含某些子字符串的未经授权来源的请求。 3. **Null 来源信任：** - 应用程序将 `Access-Control-Allow-Origin` 头设置为 "null"，允许攻击者利用某些场景访问敏感数据。