<div dir="ltr">Hi All,<div><br></div><div>     The BMC REST API effectively allows cross-origin requests from any domain to almost all URLs. If a user accesses the API from a browser, then any other malicious website visited in that browser will be able to access the REST API without the user's knowledge.<br><br>At line 1329 of rest_dbus.py [1], if the request contains an Origin header, the <br>REST server adds that origin to the "Access-Control-Allow-Origin" of the <br>response:<br><br>    def process_origin():<br>        origin = request.headers.get('Origin')<br>        if origin:<br><b>            response.add_header('Access-Control-Allow-Origin', origin)<br>            response.add_header('Access-Control-Allow-Credentials', 'true')</b><br><br>Browsers use the Access-Control-Allow-Origin header to determine which other origins are allowed to send cross-origin requests to the REST API. This <br>effectively allows all origins to send cross-origin requests. This header is <br>applied to all property and method accesses through the API.<br><div><br></div><div>    What is the significance of this?</div><div><br></div><div>Thank you,</div><div>Nishanth<br><br><br><br></div></div><img width="0" height="0" class="mailtrack-img" alt="" style="display:flex" src="https://mailtrack.io/trace/mail/8ffb0e3cead1cccf82af5b9f38d2294e863ed8ff.png?u=1433543"></div>