лол, ну это мягко говоря странно когда нет других стейджей которые можно использовать. Но в таком случае,имхо, вы должны браузер запускать с флагом. Отключать корс на проде без реальной необходимости такое себе

А тут можно попросить (не бесплатно) быструю платную помощь в фиксе двух косяков на моем сайте?

1. Есть сайт, на нем привязана платёжная система liqpay - все работает.

В чем косяк? Когда человек, после добавления товара в корзину, нажимает «оформить заказ» - владельцу сайта на почту летит уведомление об успешной оплате, но оплата ещё не прошла, просто сгенерировалась форма оплаты на ликпей. Так вот, нужно подправить, чтобы уведомление на почту летело после оплаты)

2. Ну и в письме, которое приходит после оплаты, вставлять адрес почтового отделения, которое выбрал человек после оплаты)

Если кто может взяться и пофиксить эти два мелких косяка, напишите, пожалуйста, сколько это может стоить?

Ну хорошо, а какой вред безопасности это понесет, если там сейчас просто не стоит заголовок корсов, просто поставить локалхост в allow acess origin. У нас два приложения андроид и ios и они работают без корсов и все норм, не вижу проблемы отключить корсы и не создавать проблем другим, если "хулиганы" захотят делать запросы к апи, сделают через ноду или что-то еще, тут уже нужно ограничивать количество или задержку между запросами имхо, поправьте, если не прав

много сценариев есть, можно погуглить про них, лучше сделать нормальное тестовое окружение, либо локально развернуть

На чем авторизация? на куках? на токенах?

Токены

Кто-то с этим сталкивался?
Проблема в отправки инвойса в stripe
We’re contacting you because we’ve had some trouble sending requests to a webhook endpoint associated with your  account in test mode. Webhooks are used to notify your server about events that happen in your Stripe account, such as a payout completing or an invoice being created. The failing webhook endpoint

тогда рисков значимых нет

но я бы все равно не трогал прод. Если есть способ быстро решить проблему (а запуск браузера с флагом - это быстро), не меняя код, то лучше не менять код как мне кажется

а я бы не запускал браузер с неподдерживаемым флагом

а токен не может быть в куках?

поскольку там упоминались мобильные приложения - 99.9% что нет

а, ну да, на мабилах куков вроде нет

Куки - это обычный заголовок. В чём проблема его обработать руками?

И писать самому логику управления куками? :) (которая не так тривиальна)

Напоминаю:
- проверка валидности кук (домены и сабдомены)
- expires
- само хранение кук и непередача протухших

и т.д.

Хм, походу я вклинился куда-то в середину диалога. Вне контекста. Сорян

если мы говорим о вебе - то увидеть заголовок Set-Cookie вам в JS не дадут )

меры безопасности