【41】WEB安全学习----CORS跨域安全

最新推荐文章于 2024-06-03 09:35:12 发布
最新推荐文章于 2024-06-03 09:35:12 发布
阅读量512 收藏
点赞数
分类专栏: WEB安全学习笔记
CORS

CORS需要浏览器和服务器同时支持,目前,IE浏览器不能低于IE10。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。
因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。浏览器将CORS请求分成两类:

  • 简单请求:发出CORS简单请求,只需要在头信息之中增加一个Origin字段,浏览器再对返回头加以判断以检查请求的合法性,在检查失败时,浏览器将会阻止脚本对返回内容的访问。
  • 非简单跨域请求:会在正式通信之前,增加一次HTTP查询请求(OPTIONS方法),称为"预检"请求,来加以判断,如果预检失败,实际请求将被丢弃。

只要同时满足以下两大条件,就属于简单请求。

  1. 请求方法是以下三种方法之一:
    HEAD
    GET
    POST
    2)HTTP的头信息不超出以下几种字段:
    Accept
    Accept-Language
    Content-Language
    Last-Event-ID
    Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
服务器配置项解释

Access-Control-Allow-Origin:
该字段必填。它的值要么是请求时Origin字段的具体值,要么是一个*,表示接受任意域名的请求。

Access-Control-Allow-Methods:
该字段必填。它的值是逗号分隔的一个具体的字符串或者*,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。

Access-Control-Expose-Headers:
该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。

Access-Control-Allow-Credentials:
该字段可选。它的值是一个布尔值,表示是否允许发送Cookie.默认情况下,不发生Cookie,即:false。对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json,这个值只能设为true。如果服务器不要浏览器发送Cookie,删除该字段即可。

Access-Control-Max-Age:
该字段可选,用来指定本次预检请求的有效期,单位为秒。在有效期间,不用发出另一条预检请求。

客户端配置项

Origin:
指定的源

Access-Control-Request-Method:
请求的方法,例如PUT, DELETE等等

Access-Control-Request-Headers:
自定义的头部,所有用setRequestHeader方法设置的头部都将会以逗号隔开的形式包含在这个头中

CORS安全隐患

最大的隐患就在于某些偷懒的程序员会将Access-Control-Allow-Origin设置为"*"从而使得这个CORS模型基本失效。

miss枫
关注
专栏目录
安全系列之跨域跨域解决方案
qq_35789269的博客
02-19 1975
一、为什么会出现跨域问题 出于浏览器的同源策略限制。同源策略是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。 二、什么是跨域 当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域,举几个例子: 三、非同源限制 【1】无法读取非同源网页的 Cookie、LocalStorage 和 Inde
跨域资源共享(CORS)安全性浅析
weixin_33893473的博客
03-19 166
2019独角兽企业重金招聘Python工程师标准>>> ...
跨域安全
Flyzz的博客
10-12 2006
跨域 浏览器遵循同源政策(scheme(协议)、host(主机)和port(端口)都相同则为同源)。非同源站点有这样一些限制: 不能读取和修改对方的 DOM 不读访问对方的 Cookie、IndexDB 和 LocalStorage 限制 XMLHttpRequest 请求。(后面的话题着重围绕这个) CORS CORS 其实是 W3C 的一个标准,全称是跨域资源共享。服务器需要附加特定的响应头 Access-Control-Allow-Origin Access-Control-Allow-Cred
DRF跨域后端解决之django-cors-headers的使用
09-19
Web开发中,出于安全考虑,浏览器实施了同源策略(Same-origin policy)。该策略限制了一个网页上的脚本只能与同一来源的页面进行交互。简单来说,如果两个URL的协议、域名或端口不同,那么这两个资源就属于不同的...
cors-filter-1.7.jar,cors-filter-2.5.jar,cors-filter-2.10.jar
06-20
在IT行业中,尤其是在Web开发领域,跨域资源共享(CORS,Cross-Origin Resource Sharing)是一个重要的概念,它允许浏览器向不同的源(域名、协议...正确使用CORS过滤器可以确保Web应用程序安全、高效地处理跨域请求。
TOMCAT 跨域 CORS Access-Control-Allow-Origin cors-filter
06-20
跨域资源共享(CORS,Cross-Origin Resource Sharing)是W3C制定的一项标准,用于允许浏览器安全地进行跨域请求,以解决传统的同源策略限制。标题“TOMCAT 跨域 CORS Access-Control-Allow-Origin cors-filter”提及...
allow-cors-access-control插件,解决跨域问题,内含使用教程
10-03
在互联网开发过程中,跨域(Cross-Origin)是一个常见的问题,特别是在进行本地开发或者API测试时。...通过学习和理解跨域的基本原理以及如何有效地解决这个问题,开发者可以更高效地进行Web应用的开发和调试。
谷歌跨域插件allow-cors-access-control.zip
08-04
跨域资源共享(CORS)是一种机制,它允许Web应用程序从不同的源请求资源,比如JavaScript通过Ajax从非同源的服务器获取数据。在默认情况下,由于浏览器的同源策略限制,这种跨域请求会被阻止。CORS通过设置特定的...
跨域资源共享(CORS)安全性浅析[内有提及OPTIONS请求发起的条件]
likaiwalkman@csdn - Code Study Area
08-26 3927
一、背景   提起浏览器的同源策略,大家都很熟悉。不同域的客户端脚本不能读写对方的资源。但是实践中有一些场景需要跨域的读写,所以出现了一些hack的方式来跨域。比如在同域内做一个代理,JSON-P等。但这些方式都存在缺陷,无法完美的实现跨域读写。所以在XMLHttpRequest v2标准下,提出了CORS(Cross Origin Resourse-Sharing)的模型,试图提供安全
跨域安全
Hello World
10-26 1474
一、跨域含义   转介:https://www.jianshu.com/p/f880878c1398?tdsourcetag=s_pctim_aiomsg 二、验证是否支持跨域 场景:需要验证是否支持跨域,从而判断其安全性 技术:通过访问外部网站,进行ajax请求       代码实现:     <script type="text/javascript">         ...
cors java 安全问题_Java利用cors实现跨域请求
weixin_42302384的博客
12-24 161
由于ajax本身实际上是通过XMLHttpRequest对象来进行数据的交互,而浏览器出于安全考虑,不允许js代码进行跨域操作,所以会警告网站开发,在某些情况下需要用到跨域。什么是跨域跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。ajax本身实际上是通过XMLHttpRequest对象来进行数据的交互,而浏览器出于安全考虑,...
安全系列之:跨域资源共享CORS
热门推荐
程序那些事
09-13 1万+
文章目录简介CORS举例CORS protocolHTTP request headersHTTP response headers基本CORSPreflighted requests带认证的请求总结 简介 什么是跨域资源共享呢? 我们知道一个域是由scheme、domain和port三部分来组成的,这三个部分可以唯一标记一个域,或者一个服务器请求的地址。跨域资源共享的意思就是服务器允许其他的域来访问它自己域的资源。 CORS是一个基于HTTP-header检测的机制,本文将会详细对其进行说明。 CORS
安全测试 之 常见安全漏洞:CORS
最新发布
Orange_hhh的博客
06-03 657
CORS:(Cross-origin resource sharing)跨域资源共享,CORS是一种机制,这种机制通过在http头部添加字段,通常情况下,web应用A告诉浏览器,自己有权限访问应用B。这样就可以解决跨源的问题了。
15 张精美动图全面讲解 CORS
程序员成长指北
09-16 268
前言:本文翻译自 Lydia Hallie[1] 小姐姐写的 ✋???????? CS Visualized: CORS[2],她用了大量的动图去解释 CORS 这个概念,国内还没有人翻...
面试之跨域安全
weixin_40322503的博客
04-19 602
今天接到了滴滴的一面电面,希望这次可以通过啊,真的不想再死于一面了。 面试过程中有几处没有答出来,其中一个就是跨域,只讲了JSONP和CORS跨域资源共享),CORS也只是模模糊糊答了一部分,个人感觉并没有达到点上。 回去又好好看了一下,发现还真的有好多可以说的啊,那现在就让我们开始吧~   同源策略 ”不同源的站点之间相互请求会做限制“是浏览器的行为,同源指的是协议、域名、端口都相同...
web 跨域请求安全问题
Web_boom的博客
08-23 1110
说起前端安全问题,大部分都听过 XSS 和 CSRF 这两个名词,前端面试中我们也经常会问这两个点作为 web 安全的一些基础考察。但大部分只是从浅谈辄止,停留在基本词义,很少有人真正去主动实践过安全,并且思考背后的关联。前端安全主要来源两个方面,一个是不安全的脚本、另一个是不安全的请求,前者代表各种 XSS 等注入脚本的手段、后者则发起非法的请求,CSRF 是代表。
CORS带来的隐患
不忘初心,护天下安全!
10-08 3795
跨域资源共享(CORS跨域资源共享(cors)可以放宽浏览器的同源策略,可以通过浏览器让不同的网站和不同的服务器之间通信。 1.同源策略 同源策略在浏览器安全中是一种非常重要的概念,大量的客户端脚本支持同源策略,比如JavaScript。 同源策略允许运行在页面的脚本可以无限制的访问同一个网站(同源)中其他脚本的任何方法和属性。当不同网站页面(非同源)的脚本试图去互相访问的时候,大多数的方法和...
DOM-XSS漏洞挖掘与攻击面全面解析
DOM-XSS(Document Object Model Cross-Site Scripting)是一种特殊的跨站脚本攻击,针对的是浏览器解析和执行JavaScript的能力...在现代Web开发中,跨源策略(CORS)、同源策略和沙箱模式也是防止DOM-XSS的重要手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值