diff --git a/tools/cors/index.md b/tools/cors/index.md
index 962230e09d..639df76787 100644
--- a/tools/cors/index.md
+++ b/tools/cors/index.md
@@ -92,8 +92,16 @@ Access-Control-Allow-Origin: doka.guide github.com stackoverflow.com
 - `*.site.com` – для разрешения доступа с любого поддомена `site.com`;
 - `*` – для разрешения доступа отовсюду.
 
-При использовании этого заголовка будьте осторожны, так как неправильная конфигурация приводит к уязвимостям безопасности. Например, если сервер отправляет `Access-Control-Allow-Origin: *`. Это означает, что любой `origin` получает доступ к ресурсам на сервере, что даёт возможность выполнять [атаки](/tools/web-security/), например, CSRF.
+При использовании этого заголовка будьте осторожны, так как неправильная конфигурация приводит к уязвимостям безопасности. Например, если сервер отправляет `Access-Control-Allow-Origin: *`. Это означает, что любой `origin` получает доступ к ресурсам на сервере, что даёт возможность выполнять [атаки](/tools/web-security/), например, CSRF. Вместо `*` лучше явно задавать один или несколько `origin`, которым точно доверяете.
+
+<aside>
+
+🥷 CSRF расшифровывается как _cross-site request forgery_ или _межсайтовая подделка запроса_. Это вид атаки, когда злоумышленник получает доступ к данным из браузера другого человека и выполняет действия от его лица. Например, изменяет пароль от личного кабинета на сайте, где уже авторизован этот пользователь.
+
+</aside>
 
 ## Важно помнить
 
 Настройка CORS происходит как со стороны браузера, так и со стороны сервера. Нужно правильно настроить сервер, чтобы он возвращал нужные заголовки при запросах с других `origin`.
+
+Не забывайте регулярно заглядывать в настройки CORS и обновлять их.