漏洞修复:HTML5: Overly Permissive CORS Policy

已于 2023-07-18 14:52:26 修改
阅读量866 收藏 1
点赞数
分类专栏: nginx 文章标签: nginx
于 2022-11-16 16:22:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CutelittleBo/article/details/127887685
版权
本文讨论了CORS(跨源资源共享)的安全问题,建议限制Access-Control-Allow-Origin头的访问权限,避免使用通配符,并提供了一种实现白名单策略的方法。通过在服务器端设置特定的Access-Control-Allow-Origin值,可以确保只有信任的域名能够访问资源,防止敏感信息泄露。同时,介绍了如何通过判断请求来源并返回403错误来进一步增强安全性。
摘要由CSDN通过智能技术生成

描述

A resource on the target website has been found to be shared across websites using CORS with an open access control policy. Cross-Origin Resource Sharing, commonly referred to as CORS, is a technology that allows a domain to define a policy for its Review your Cross-Origin-Resource-Sharing policy and consider restricting access to only trusted domains. Never use wildcard open-access permissions (e.g. “*”) in the Access-Control-Allow-Origin header. Additionally, do not automatically include Access -Control-Allow-Origin headers in the response unless the request is cross-domain. Alternatively, implement an allow list of known domains that are allowed to access this domain and only include domains that actually tried to access the resource. Otherwise, reject the request and reply with only host domain not exposing all allowed domains. Reserve the use of CORS for resources that cannot be shared in other ways (e.g. JavaScript can be accessed using SCRIPT tag as well as images can be accessed using IMG tag from other domains). Finally, make sure that this resource does not disclose any sensitive information and only share resources required to preserve functionality in contrast to an open domain CORS access.

解决方案

在server中添加
add_header Access-Control-Allow-Origin 允许访问的ip或者域名,允许访问的ip或者域名;
例如:

server{
	add_header Access-Control-Allow-Origin  192.168.11.62;
}

或者

server{
	add_header 'Access-Control-Allow-Origin' $http_origin;
}

实际情况中,还是扫到了
另一个解决方案
判断$http_origin
如果不在白名单,直接403

if ( $http_origin !~* '192.168.1.1|172.1.1.1') {
        return 403 ;
}

参考

https://blog.csdn.net/CutelittleBo/article/details/122728054

SangBigYe
关注
专栏目录
GEE AI:利用 LLMs 来协助地理空间分析中的规划和代码生成,加快数据处理流程
此星光明博客
09-23 77
我们谷歌研究院科学人工智能部门的使命是实现科学突破和发现,造福人类并从根本上加快科学进步。我们的一个重点领域是通过生成式人工智能和大型语言模型(LLMs)的力量,增强地理空间分析师和科学家的能力。我们的目标是利用 LLMs 来协助地理空间分析中的规划和代码生成,从而大大加快分析师的工作流程。地理空间工作流程自动化的一个重要部分是根据特定的地理空间查询确定哪些数据集最相关。因此,我们最初的重点是建立一个数据集搜索代理,帮助用户找到最适合其分析需求的数据集。
漏洞 HTML5: Overly Permissive Message Posting Policy修复方案
qq_40472157的博客
05-29 728
漏洞 HTML5: Overly Permissive Message Posting Policy修复方案
HTML页面安全策略汇总(1):同源策略、CORS、COOP、COEP
weixin_44384265的博客
12-02 1270
本文是HTML页面安全汇总文章第一篇:详细介绍的策略包括同源策略、跨源资源共享CORS、跨源打开程序策略COOP、跨源嵌入器策略COEP。
HTML5安全:CORS(跨域资源共享)简介
tempsitegoogle
07-09 695
前言:像CORS对于现代前端这么重要的技术在国内基本上居然很少有人使用和提及,在百度或者Google上搜索CORS,搜到的中文文章基本都是另外一种卫星定位技术CORS的介绍,让我等前端同学情何以堪(对比起来,用Google搜到的国外文章,基本都是跨域资源共享的介绍,说明了前端技术在国内外环境和发展的巨大差距)。 我之前《用HTML5实现人脸识别》这篇文章中提到了“Face.com实...
CORS策略
weixin_42847626的博客
07-22 373
https://www.jianshu.com/p/af02bc9c1b2b https://www.jianshu.com/p/b570472dc317?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation http://www.voidcn.com/a...
利用HTML5CORS特性绕过httpOnly的限制实现XSS会话劫持
Fly_鹏程万里
09-17 2226
0×00. 前言  有时候我们遇到一个存储型XSS 漏洞,但是sessionId设置了httpOnly,劫持不了会话,显得很鸡肋,让渗透测试人员很蛋疼,不过这种情况正在好转,随着HTML5的流行,通过HTML5CORS功能实现跨域通信,建立HTTP tunnel通信,实现会话劫持已经变成可能,本文就通过实测验证HTML5CORS条件下的xss会话劫持的可行性。 关于HTML5CORS...
HTML5安全风险详析之一:CORS攻击
aiwzwid2749的博客
11-24 121
CORS-CrossOrigin Resources Sharing,也即跨源资源共享,它定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。它是一个妥协,有更大的灵活性,但比起简单地允许所有这些的要求来说更加安全。简言之,CORS就是为了让AJAX可以实现可控的跨域访问而生的。 一、从SOP到CORS SOP就是Same Origin Policy同源策略,指一个域的文档...
Fortify漏洞修复总结
weixin_30677475的博客
09-21 3754
1.代码注入 1.1 命令注入 命令注入是指应用程序执行命令的字符串或字符串的一部分来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,导致程序执行恶意命令的一种攻击方式。 问题代码: $dir = $_POST['dir'] exec("cmd.exe /c dir" + $dir); 修复方案:(1)程序对非受信的用户输入数据进行净化,删...
[20][03][23] Cookie Security: Over Broad Path
安全新司机
12-30 1779
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 cookie 设置过宽的有效路径, 可以通过同一域名中的其他应用程序访问 2. 问题场景 开发人员经常将 cookie 设置有效路径为 "/" 可以访问, 这将向域名上上的所有 web 应用程序开放 cookie, 由于 cookie 通常携带会话标识符等敏感信息, 跨应用程序共享 cookie 可能导致一个应用程序的漏洞, 从而危及另一个应用程序 Cookie cookie = new Cookie("token", token); co
overly-complicated-lastfm2spotify:过于复杂的LastFM到Spotify迁移工具
03-08
过于复杂的LastFM到Spotify迁移工具 我在很久以前创建了两个类似的项目: 和 。 我认为它们都不起作用了,所以我考虑了第三次这样做。 这次我想使其更加复杂,因此我可以更多地了解有用的工具和技术,而不必过多地...
LLMs之Falcon:《The RefinedWeb Dataset for Falcon LLM: Outperforming Curated Corpora with Web Data, and
近期请国内外头部出版社可尽快私信博主!——心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,谦虚,自律,反思,成长,还算是比较正能量的博主,公益免费传播……内心特别想在AI界做出一些可以推进历史进程影响力的东西(兴趣使然,有点小情怀,也有点使命感呀)…
06-10 1037
​ LLMs之Falcon:《The RefinedWeb Dataset for Falcon LLM: Outperforming Curated Corpora with Web Data, and Web Data Only》翻译与解读 目录 《The RefinedWeb Dataset for Falcon LLM:Outperforming Curated Corpora with Web Data, and Web Data Only》翻译与解读 Abstract摘要
html5post安全性,html5新机制:postMessage实现安全跨域通信(代码)
weixin_35023786的博客
06-16 470
本篇文章给大家带来的内容是关于html5新机制:postMessage实现安全跨域通信(代码),有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。效果图postmessage解析HTML5提供了新型机制PostMessage实现安全的跨源通信. 语法otherWindow.postMessage(message, targetOrigin, [transfer]);otherWin...
Fortify代码扫描问题及修复
热门推荐
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
09-07 1万+
静态代码扫描常见问题及修复 风险类型 原因 Code Correctness: Erroneous String Compare 字符串的对比使用错误方法 Cross-Site Scripting Web浏览器发送非法数据,导致浏览器执行恶意代码 Dead Code: Expression is Always true 表达式的判断总是true Dead Code: Unused Method 没有使用的方法 HTTP Response Splitting 含有未验证的数据
(OWASP)(笔记)(代码审计)OWASP TOP TEN 2021
最新发布
aaaadoga的博客
07-16 844
这篇文章是关于作者学习2021版owasp top 10的笔记在我个人看来,了解这份报告,一个目的是为了面试(笑),另一个目的是方便确定代码审计的切入点,关于这一点,我在文章最后进行了一个总结,这个总结可能不够全面,哪位朋友有意见或疑惑可以留言或联系在学习了这一份报告后,我们在审计一个项目时,可以考虑从以下方面入手系统的访问控制机制系统提供的api是否能接受不同的http方法的请求?系统的CORS配置是什么?有无漏洞?能不能直接访问系统的后台界面?系统的认证和授权框架。
html5 postmessage发送跨域请求,详解html5 postMessage解决跨域通信的问题
weixin_35457696的博客
06-09 323
这篇文章主要介绍了详解html5 postMessage解决跨域通信的问题的相关资料,有一定的参考价值,有需要的朋友可以参考一下,希望对你们有所帮助。本文介绍了详解html5 postMessage解决跨域通信的问题,分享给大家,具体如下:效果图:postmessage解析HTML5提供了新型机制PostMessage实现安全的跨源通信.语法:otherWindow.postMessage(mes...
关于flash跨域访问的解决方法
linbai10864的博客
04-30 294
1. flash因为安全的考虑不支持跨域访问除非你访问的站点有crossdomain.xml(域名根目录下) crossdomain.xml将定义该站点下可以被那些网站访问,可以使用通配符 其格式是 <?xml version="1.0"?> <!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com...
CORS跨域资源共享漏洞
m0_55772907的博客
10-19 9515
cors漏洞
Spring Boot中对CORS(Cross-Origin Resource Sharing 跨域资源共享)的支持
Champion-Dai
07-31 707
1、概念 Cors(Cross-Origin Resourece Sharing)是由W3C制定的一种跨域资源共享技术标准,目的是为了解决前端的跨域请求。 2、实验步骤 SpringBoot中配置Cors的步骤如下: 2.1 创建第一个Spring Boot工程(切记:本实验中,第一个工程的tomcat的接口为8086)。本实验中添加Web依赖。 <dependency> ...
Find-Sec-Bugs 漏洞范例
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值