漏洞修复:HTML5: CORS Prolonged Caching of Preflight Response

最新推荐文章于 2023-05-04 15:48:36 发布
最新推荐文章于 2023-05-04 15:48:36 发布
阅读量984 收藏
点赞数
分类专栏: nginx 文章标签: html5 前端 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CutelittleBo/article/details/122731216
版权

描述

WebInspect has discovered a preflight response that is configured to be cached for a prolonged amount of time. The time a response is allowed to be cached is conveyed using an Access-Control-Max-Age response header and a value more than 30 minutes is considered to be prolonged. Cross-Origin Resource Sharing, commonly referred to as CORS, is a technology that allows a domain to define a policy for its resources to be accessed by a web page hosted on a different domain using cross domain XML HTTP Requests (XHR). Historically, the browser restricts cross domain XHR requests to abide by the same origin policy. At its basic form, the same origin policy sets the script execution scope to the resources available on the current domain and prohibits any communication to domains outside this scope. Therefore, execution and incorporation of remote methods and functions hosted on domains outside of the current domain are effectively prohibited. While CORS is supported on all major browsers, it also requires that the domain correctly defines the CORS policy in order to have its resources shared with another domain. These restrictions are managed by access policies typically included in specialized response headers, such as:
Access-Control-Allow-Origin
Access-Control-Allow-Headers
Access-Control-Allow-Methods
Access-Control-Max-Age
The browser generates a preflight OPTIONS request whenever the cross domain request made by the web page is anything other than a simple HTTP request. A GET or POST HTTP request with no special headers or credentials is considered a simple request. A response for a preflight request exposes the server’s CORS policy via specialized headers mentioned above. After examining the required permissions, the browser makes the actual request that the web page initially performed. This extra preflight request adds overhead and hence the server can configure its preflight response to be cached.

解决方案

add_header Access-Control-Max-Age 1200;
例如:

server{
	add_header Access-Control-Max-Age 1200;
}

解决思路

大体意思是
预检响应的长时间缓存可能会带来安全威胁,因为可以在服务器上更新策略,而浏览器仍将允许未经授权访问基于原始缓存策略的资源。允许缓存响应的时间使用 Access-Control-Max-Age 响应标头来传达,超过 30 分钟的值被认为是延长的。
那我们就设置为30分钟以内,目前设置为了20分钟也就是1200秒

参考

https://vulncat.fortify.com/en/detail?id=desc.dynamic.html.html5_cors_prolonged_caching_of_preflight_response

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Access-Control-Max-Age

SangBigYe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTML5安全风险详析之一:CORS攻击
蒋宇捷的专栏
09-09 1万+
一、从SOP到CORS        SOP就是Same Origin Policy同源策略,指一个域的文档或脚本,不能获取或修改另一个域的文档的属性。也就是Ajax不能跨域访问,我们之前的Web资源访问的根本策略都是建立在SOP上的。它导致很多web开发者很痛苦,后来搞出很多跨域方案,比如JSONP和flash socket。如下图所示:        后来出现了CORS-CrossOrigin
浏览器预检请求返回400 has been blocked by CORS policy: Response to preflight request doesn’t pass access cont
热门推荐
weixin_53512283的博客
04-02 3万+
这个问题也是很过分头一次遇到,原因是谷歌浏览器在有跨域(CORS)请求时,会先发送一个preflight(预检)请求,之后才会发送fetch请求。 CORS:跨源资源共享(CORS)(或通俗地译为跨域资源共享)是一种基于HTTP头的机制,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),这样浏览器可以访问加载这些资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求。在预检中,浏览器发...
漏洞修复HTML5: CORS Functionality Abuse
CutelittleBo的博客
01-28 2227
描述 WebInspect has detected the target application supports “Origin: null” for CORS requests, making it vulnerable to CORS attacks. Cross-Origin Resource Sharing, commonly referred to as CORS, is a technology that allows a domain to define a policy for its
HTML5安全:CORS(跨域资源共享)简介
tempsitegoogle
07-09 642
前言:像CORS对于现代前端这么重要的技术在国内基本上居然很少有人使用和提及,在百度或者Google上搜索CORS,搜到的中文文章基本都是另外一种卫星定位技术CORS的介绍,让我等前端同学情何以堪(对比起来,用Google搜到的国外文章,基本都是跨域资源共享的介绍,说明了前端技术在国内外环境和发展的巨大差距)。 我之前《用HTML5实现人脸识别》这篇文章中提到了“Face.com实...
利用HTML5CORS特性绕过httpOnly的限制实现XSS会话劫持
bylfsj的博客
03-21 4031
文章目录0×00. 前言 0×01. 前提条件0×02. 本次实验环境漏洞环境:使用到的工具: 0×03. 测试过程1) 事先插入一段xss代码2) 配置好用户端的hosts3)开始测试0×04. shell of the future 劫持会话原理图0×05. 不足 * 本文原创作者:ForrestX386,本文属Fr...
cors java 安全问题_Java服务端用CORS方法解决浏览器跨域问题(示例代码)
weixin_42317885的博客
12-24 238
跨域问题简单来说,就是浏览器访问a.com时,a.com中的javascript,想要访问b.com的资源。浏览器从安全角度考虑限制了这种行为。所以访问失败了。解决方案主要有两种:1.JSONP2.CORSJSONPJSONP方案是将数据放在服务端的javascript脚本中,请求这个javascript。由于浏览器不限制javascript的跨域访问,因此服务端只要把数据放在这个伪javascr...
CORS(跨域资源共享)漏洞解决方法
BHSZZY的博客
07-23 2万+
最近,测试环境上的项目被360测试人员检测出来有一个CORS漏洞,以下记录下漏洞问题与解决方法。 一、低危漏洞CORS漏洞问题 测试人员访问某个url,将请求头中的Origin字段修改为任意值,结果仍然能获得正确的响应报文,就说明有CORS漏洞。 当CORS的设置不正确时,就会带来安全问题;当响应头中的Access-Control-Allow-Origin设置为null或*时,表示信任任何域,这时候就可能引入安全问题。 修复方法是合理配置CORS,判断Origin是否合法;具体说就是不让在nginx或t
Vue报错has been blocked by CORS policy Response to preflight request doesn‘t pass access controlcheck
m0_67394006的博客
03-06 6219
【已解决–我的是由于vue-cli版本问题,前文太长可以直接跳转到解决方案】 文章目录 服务端跨域解决 Nginx配置跨域(下文的解决方案是开发环境下,部署上线需要在nginx中配置反向代理) 前端的跨域配置 解决方案 网上的一些解决方案 全部的报错信息: Access to XMLHttpRequest at 'http://127.0.0.1:7772/person/sysOrgInfo/query-next-org-emp?id=xxx' from origin 'http://l
lumen-cors:Lumen PHP框架的CORS模块
05-23
流明CORS 适用于(CORS)模块。 要求 PHP 7.1或更高版本 5.4或更高 用法 安装 运行以下命令以通过Composer安装软件包: composer require nordsoftware/lumen-cors 配置 将config/cors.php的配置模板复制到应用...
cors-gate:在服务器端执行CORS
04-29
连接兼容的中间件,可根据CORS规则有选择地拒绝请求。 如果只需要支持现代浏览器,则可以使用它替代CSRF令牌。 有关更多信息,请参见。 安装 在您的项目中运行此命令: $ npm install cors-gate 测试 $ npm test ...
Corser:Node.js的CORS中间件
02-05
科瑟 的高度可配置,中间件兼容的实现。 变更日志 2.0.1(2016年8月16日) 为添加变通办法,。 2.0.0(2014年3月22日) 飞行前请求将自动关闭。 如果需要处理OPTIONS请求,请检查endPreflightRequests选项。...
CORS跨域资源共享漏洞的复现、分析、利用及修复过程
weixin_46622976的博客
12-27 1万+
CORS漏洞测试
JAVA开发运维(web场景漏洞修复
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
05-04 597
fastjson
JAVA开发(web常见安全漏洞以及修复建议)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
01-12 2030
web常见安全漏洞以及修复建议
SpringCloudGateway中ratelimiter源码分析
海锋博客
06-22 5276
本章概要前言正文Redis分布式限流的核心组件如何配置路由如何处理请求如何刷新路由配置总结 前言 在SpringCloudGateway中官方默认提供了基于Redis的分布式限流方案,对于大部分的场景开箱即用。但实际应用场景下,针对不同的业务场景可能需要进行定制化扩展,此时很有必要了解其工作原理,从而更加快速有效的实现自定义扩展。 正文 此部分将通过3个层面逐步展开: Redis分布式限流的核心...
漏洞修复HTML5: Overly Permissive CORS Policy
CutelittleBo的博客
11-16 762
add_header Access-Control-Allow-Origin 允许访问的ip或者域名,允许访问的ip或者域名;判断$http_origin。如果不在白名单,直接403。实际情况中,还是扫到了。在server中添加。
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2264
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
Fortify代码扫描问题及修复
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
09-07 1万+
静态代码扫描常见问题及修复 风险类型 原因 Code Correctness: Erroneous String Compare 字符串的对比使用错误方法 Cross-Site Scripting Web浏览器发送非法数据,导致浏览器执行恶意代码 Dead Code: Expression is Always true 表达式的判断总是true Dead Code: Unused Method 没有使用的方法 HTTP Response Splitting 含有未验证的数据
xmlHttpRequest from origin has been blocked by CORS policy: Response preflight
最新发布
08-16
这个报错是由于浏览器的CORS(跨域资源共享)策略所引起的。浏览器在发送跨域的XMLHttpRequest请求时,会先发送一个预检请求(OPTIONS请求)来检查服务器是否允许该跨域请求。如果预检请求的响应不满足CORS策略的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值