漏洞修复:HTML5: Overly Permissive CORS Policy

已于 2023-07-18 14:52:26 修改
阅读量625 收藏 1
点赞数
分类专栏: nginx 文章标签: nginx
于 2022-11-16 16:22:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CutelittleBo/article/details/127887685
版权

描述

A resource on the target website has been found to be shared across websites using CORS with an open access control policy. Cross-Origin Resource Sharing, commonly referred to as CORS, is a technology that allows a domain to define a policy for its Review your Cross-Origin-Resource-Sharing policy and consider restricting access to only trusted domains. Never use wildcard open-access permissions (e.g. “*”) in the Access-Control-Allow-Origin header. Additionally, do not automatically include Access -Control-Allow-Origin headers in the response unless the request is cross-domain. Alternatively, implement an allow list of known domains that are allowed to access this domain and only include domains that actually tried to access the resource. Otherwise, reject the request and reply with only host domain not exposing all allowed domains. Reserve the use of CORS for resources that cannot be shared in other ways (e.g. JavaScript can be accessed using SCRIPT tag as well as images can be accessed using IMG tag from other domains). Finally, make sure that this resource does not disclose any sensitive information and only share resources required to preserve functionality in contrast to an open domain CORS access.

解决方案

在server中添加
add_header Access-Control-Allow-Origin 允许访问的ip或者域名,允许访问的ip或者域名;
例如:

server{
	add_header Access-Control-Allow-Origin  192.168.11.62;
}

或者

server{
	add_header 'Access-Control-Allow-Origin' $http_origin;
}

实际情况中,还是扫到了
另一个解决方案
判断$http_origin
如果不在白名单,直接403

if ( $http_origin !~* '192.168.1.1|172.1.1.1') {
        return 403 ;
}

参考

https://blog.csdn.net/CutelittleBo/article/details/122728054

SangBigYe
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Reply: Comment by S. Milham
06-29
Bioelectromagnetics21:412(2000) Reply:Comment by S.Milham D.A.Savitz* Dept.ofEpidemiology,UniversityofNorthCarolina,ChapelHill,NC Dr. Milham makes a valid point in response to The adequacy ofimperfect occupational data for our overly sweeping pessimistic conclusion about the identifyingwork-relatedhealtheffectsdependsfurther limited value of death certificate data in addressing onthenatureoftheagentandmagnitudeofeffect.For occupationalexposuresanddisease.Thevalueofdeath some agents, the linkage b
matlab加颜色代码-PCANet_PLUS:深度主成分分析网络
05-22
matlab加颜色代码PCANet_PLUS MATLAB代码 Title : "Stacking PCANet+: An Overly Simplified ConvNets Baseline for Face Recognition", accepted by IEEE Signal Processing Letters, August 2017. Authors : C. Y. Low, A. B. J. Teoh, K. A. Toh Affl. : Yonsei University, Seoul, South Korea Email : {chengyawlow, bjteoh, katoh}@yonsei.ac.kr Be noted that we modified from the PCANet implementation provided by the authors as follows: T. H. Chan, K. Jia, S. Gao, J. Lu, Z. Zeng, and Y. Ma, "PCANet: a simple deep learning
overly-complicated-lastfm2spotify:过于复杂的LastFM到Spotify迁移工具
03-08
过于复杂的LastFM到Spotify迁移工具 我在很久以前创建了两个类似的项目: 和 。 我认为它们都不起作用了,所以我考虑了第三次这样做。 这次我想使其更加复杂,因此我可以更多地了解有用的工具和技术,而不必过多地关注语言本身。 我希望最终该项目能很好地工作并达到其目的,但要比原来需要的复杂得多,例如结合使用Docker,Elastic Stack,Prometheus,Grafana和Resilience4j,甚至部署在AWS上。 该项目的唯一目标是尽可能多地学习。
Web Hacking 101: How to Make Money Hacking Ethically
02-01
Web Hacking 101: How to Make Money Hacking Ethically By 作者: Peter Yaworski Pub Date: 2018 ISBN: n/a Pages: 255 Language: English Format: PDF Size: 10 Mb With a Foreword written by HackerOne Co-Founders Michiel Prins and Jobert Abma, Web Hacking 101 is about the ethical exploration of software for security issues but learning to hack isn’t always easy. With few exceptions, existing books are overly technical, only dedicate a single chapter to website vulnerabilies or don’t include any real world examples. This book is different. Using publicly disclosed vulnerabilities, Web Hacking 101 explains common web vulnerabilities and will show you how to start finding vulnerabilities and collecting bounties. With over 30 examples, the book covers topics like: HTML Injection Cross site scripting (XSS) Cross site request forgery (CSRF) Open Redirects Remote Code Execution (RCE) Application Logic and more… Each example includes a classification of the attack, a report link, the bounty paid, easy to understand description and key takeaways. After reading this book, your eyes will be opened to the wide array of vulnerabilities that exist and you’ll likely never look at a website or API the same way.
Java代码审计手册(3)
kudos123的博客
12-23 3188
此文为转载翻译文章(可能会出现错误) 目录 动态JSP包含(JSP_INCLUDE) Spring表达式中的动态变量(JSP_SPRING_EVAL) 禁用特殊XML字符的转义(JSP_JSTL_OUT) JSP中的潜在XSS(XSS_JSP_PRINT) Servlet中潜在的XSS(XSS_SERVLET) XMLDecoder用法(XML_DECODER) 静态IV(STATIC_IV) ECB模式不安全(ECB_MODE) 密码易受Oracle填充(PADDING_ORACLE) 没有完整性的密.
Fortify代码扫描问题及修复
michael_linux的博客,一个小学生。
09-07 1万+
静态代码扫描常见问题及修复 风险类型 原因 Code Correctness: Erroneous String Compare 字符串的对比使用错误方法 Cross-Site Scripting Web浏览器发送非法数据,导致浏览器执行恶意代码 Dead Code: Expression is Always true 表达式的判断总是true Dead Code: Unused Method 没有使用的方法 HTTP Response Splitting 含有未验证的数据
HTML5安全:CORS(跨域资源共享)简介
tempsitegoogle
07-09 543
前言:像CORS对于现代前端这么重要的技术在国内基本上居然很少有人使用和提及,在百度或者Google上搜索CORS,搜到的中文文章基本都是另外一种卫星定位技术CORS的介绍,让我等前端同学情何以堪(对比起来,用Google搜到的国外文章,基本都是跨域资源共享的介绍,说明了前端技术在国内外环境和发展的巨大差距)。 我之前《用HTML5实现人脸识别》这篇文章中提到了“Face.com实...
漏洞 HTML5: Overly Permissive Message Posting Policy修复方案
qq_40472157的博客
05-29 447
漏洞 HTML5: Overly Permissive Message Posting Policy修复方案
CORS策略
weixin_42847626的博客
07-22 321
https://www.jianshu.com/p/af02bc9c1b2b https://www.jianshu.com/p/b570472dc317?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation http://www.voidcn.com/a...
html5 postMessage解决跨域、跨窗口消息传递
weixin_48371382的博客
11-30 249
一些麻烦事儿 平时做web开发的时候关于消息传递,除了客户端与服务器传值还有几个经常会遇到的问题 1.页面和其打开的新窗口的数据传递 2.多窗口之间消息传递 3.页面与嵌套的iframe消息传递 4.上面三个问题的跨域数据传递 postMessage() 这些问题都有一些解决办法,但html5引入的message的API可以更方便、有效、安全的解决这些难题。postMessage()方法允许来自不同源的脚本采用异步方式进行有限的通信,可以实现跨文本档、多窗口、跨域消息传递。 postMessage(data
回复:S. Milham 的评论
06-29
our overly sweeping pessimistic conclusion about the identifyingwork-relatedhealtheffectsdependsfurther limited value of death certificate data in addressing onthenatureoftheagentandmagnitudeofeffect....
跨域 CORS policy
热门推荐
Snails的博客
08-19 3万+
Angular + SpringBoot 项目跨域问题 ​ 由于项目的需要,最近一段时间都在学习Angular,正好之前无聊写了一个后端的CRUD的demo,索性就将前后端整合起来。 ​ 整体的思路是,前端由Angular发送一个get请求(import HttpClient组件),请求通过Http,发送到Controller层,然后途经三层架构,访问数据库。然后后端返回的json数据发给前端解析。本以为这个demo特别简单,没有什么技术难点,逻辑也不复杂。结果在前端发送get请求的时候出了问题,但是身经
测试左移 使用Find Security Bugs检查代码安全问题
liwenxiang629的博客
05-18 3033
Find Security Bugs 是SpotsBug的插件,他主要用来做web和android应用的代码安全测试。目前可以检测出 141 种不同类型的安全漏洞。它支持大量的使用主流的框架和库的代码检测,如包括 Spring-MVC,Struts,Tapestry等,并可以与 IDE 集成,可用于 Eclipse,IntelliJ,Android Studio 和 NetBeans 中的 findbug并提供命令行接口以便用于 maven 和 ant,支持与 Jenkins 和 SonarQube 等..
HTML5安全风险详析之一:CORS攻击
aiwzwid2749的博客
11-24 90
CORS-CrossOrigin Resources Sharing,也即跨源资源共享,它定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。它是一个妥协,有更大的灵活性,但比起简单地允许所有这些的要求来说更加安全。简言之,CORS就是为了让AJAX可以实现可控的跨域访问而生的。 一、从SOP到CORS SOP就是Same Origin Policy同源策略,指一个域的文档...
HTML页面安全策略汇总(1):同源策略、CORS、COOP、COEP
weixin_44384265的博客
12-02 1117
本文是HTML页面安全汇总文章第一篇:详细介绍的策略包括同源策略、跨源资源共享CORS、跨源打开程序策略COOP、跨源嵌入器策略COEP。
CORS跨域资源共享漏洞
m0_55772907的博客
10-19 9049
cors漏洞
阿里巴巴规约扫描、奇安信扫描bug修改建议
look_word的博客
12-23 3606
阿里巴巴规约扫描、奇安信扫描bug修改建议
chrome 禁止跨域策略(CORS policy)
12-28 8759
很多时候,后台小伙很兴奋的告诉你接口都ok了,可以继承对接,你用postman测了一下也通过了,然后当你在前端(web)里面想调试的时候, 却发现后台并没有配置跨越策略,也就是允许浏览器跨域请求,当你前去沟通,后台答应会很快解决之后,等了好久又没信了,明明很简单的问题咋就这么难吗?这样就影响前端调试进度了,比如我今天有遇到了…… 很委婉的请求对方修改一下策略,结果人家并不知道跨域跨相关的解决方案,普及之后对方答应修改,可是过去了两天依旧没啥动静…… 实在无法忍,又没啥...
漏洞修复:Cookie Security: Overly Permissive SameSite Attribute
CutelittleBo的博客
02-07 3681
描述 The SameSite attribute protects cookies from attacks such as Cross-Site Request Forgery (CSRF). Session cookies represent a user to the site to allow user to perform authorized actions. However, the browser automatically sends the cookies and therefore
unity如何设置canvas在overly模式下的初始位置
最新发布
06-11
在Unity中,可以通过以下步骤设置Canvas在Overlay模式下的初始位置: 1. 在Unity中创建一个新的Canvas对象。 2. 在Canvas的属性面板中,将Render Mode设置为“Overlay”。 3. 在Canvas的Transform组件中,设置Canvas的初始位置和大小。 4. 将需要显示在Canvas上的UI元素添加到Canvas中。 注意事项: 1. Overlay模式下,Canvas的位置和大小不受场景中其他对象的影响,始终保持在屏幕上方。 2. 在设置Canvas的初始位置和大小时,可以使用Unity中提供的各种布局组件和约束来实现自适应界面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值