Cross-Origin Read Blocking (CORB)

于 2024-05-01 10:00:00 发布
阅读量991 收藏 12
点赞数 25
分类专栏: 网络通信 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/axin_li/article/details/137279343
版权

Cross-Origin Read Blocking (CORB) 是一种安全机制,用于保护Web应用免受跨域读取攻击。

跨域读取攻击可能会导致网站上的敏感信息被恶意代码访问和读取。这种攻击方式通常利用浏览器对不同源的资源访问的限制进行绕过。

CORB通过在浏览器中引入一种新的安全检测机制来解决这个问题。当浏览器尝试读取跨域资源(如图片、样式表、脚本等)时,CORB将检测是否存在安全问题。如果存在潜在的安全问题,CORB将阻止浏览器读取该资源,并返回一个空的响应,以保护网站的敏感信息。

CORB的工作原理

当浏览器发起跨域请求时,它会在收到响应之前先检查响应的内容类型。如果响应的内容类型不是被视为安全的类型(如HTML、XML、JSON等),浏览器就会阻止网页读取该响应的内容。这是一种安全机制,用于阻止跨域读取攻击,旨在保护Web应用程序免受恶意网站的攻击。通过阻止恶意网站读取其他域名下的敏感数据,CORB可以有效保护用户的隐私和安全。

CORB 可以缓解哪些攻击?

  • Cross-Site Script Inclusion (XSSI)

    • <script>XSSI 是一种将标签指向非 JavaScript 目标资源的技术,并在将结果资源解释为 JavaScript 时观察一些副作用。这种攻击的一个早期例子是在 2006 年发现的:通过覆盖 JavaScript 数组构造函数,JSON 列表的内容可以被简单地拦截<script src="https://example.com/secret.json">:虽然数组构造函数攻击向量在当前浏览器中已得到修复,但在接下来的十年中发现并修复了许多类似的漏洞。
    • CORB 可防止此类攻击,因为受 CORB 保护的资源将被阻止传递到跨站点<script>元素。
    • 在缺乏其他 XSSI 防御(例如XSRF 令牌和/或JSON 安全前缀)的情况下,CORB 特别有价值。此外,XSSI 防御(例如JSON 安全前缀)的存在也可以用作 CORB 算法的信号,表明资源应该受到 CORB 保护。

  • Speculative Side Channel Attack (例如: Spectre).

    • 例如,攻击者可能使用一个<img src="https://example.com/secret.json">元素将跨站点秘密拉入攻击者的 JavaScript 运行的进程中,然后使用推测性侧通道攻击(例如Spectre)来读取秘密。
    • 当与站点隔离一起使用时,CORB 可以通过防止 JSON 资源出现在托管跨站点页面的进程的内存中来防止此类攻击。

CORB 如何“阻止”响应?

当浏览器接收到跨域请求并收到响应时,CORB会检查响应的内容类型(MIME类型)。如果响应的内容类型被视为可能包含敏感信息(例如,MIME类型为"text/html"且响应中可能包含JavaScript脚本),浏览器会自动阻止该响应的读取,避免恶意网站利用跨站脚本攻击(XSS)来读取其他网站的数据。

这一阻止过程是在浏览器内部进行的,用户通常无法直接感知。浏览器通过解析响应头中的Content-Type字段来确定MIME类型,并根据其安全策略来决定是否允许网页读取该响应。如果MIME类型不符合安全标准,浏览器就会拦截该响应,防止恶意脚本的执行和数据泄露。

此外,CORB还通过引入新的响应头来增强安全性。例如,通过设置Content-Type为"application/octet-stream",浏览器会将该响应视为二进制数据而不是HTML文档,从而进一步阻止对敏感信息的读取。

哪些类型的内容受 CORB 保护?

  1. 非文本格式:如图像(JPEG、PNG 等)、音频、视频和其他二进制格式。虽然这些格式本身通常不是跨站读取攻击的目标,但CORB 的机制可能也会覆盖它们,以防止任何潜在的滥用。

  2. 不常见的文本格式:这些可能包括某些特定的 MIME 类型,它们不是通常用于网页显示的文本类型(例如,非标准的文本编码或旧的、较少使用的格式)。

  3. JavaScript 代码:虽然 JavaScript 通常用于网页交互,但恶意网站可能会尝试利用跨域请求来读取其他网站上的 JavaScript 代码,以获取敏感信息或执行其他恶意操作。因此,JavaScript 响应也可能受到 CORB 的保护。

  4. 不安全的或未知的内容类型:浏览器可能无法识别或处理某些内容类型,或者这些类型可能具有潜在的安全风险。在这种情况下,CORB 可能会采取预防措施,阻止网页读取这些响应

CORB 的具体实现和受保护的内容类型可能因浏览器而异,并且可能随着浏览器版本的更新而发生变化。为了确保Web应用程序的安全性和兼容性,应该了解并遵循最新的浏览器安全最佳实践,并避免依赖可能受到CORB或其他安全机制影响的行为。

总结

CORB(Cross-Origin Read Blocking)是一种安全机制,用于阻止跨域读取攻击,保护Web应用程序免受恶意网站的攻击。它由Google提出并实现。CORB的工作原理是,当浏览器发起跨域请求时,它会在收到响应之前先检查响应的内容类型。如果响应的内容类型不是被视为安全的类型(如HTML、XML、JSON等),浏览器就会阻止网页读取该响应的内容。

CORB的发生时机主要有两种情况:

  1. 当浏览器试图使用XMLHttpRequest或Fetch等API读取跨域资源时,如果跨域资源的MIME类型为text/html、application/xml或者是application/json等,同时该资源返回的响应头缺少Access-Control-Allow-Origin头或者不被允许跨域,浏览器就会阻止该跨域请求并报错;
  2. 如果当前页面通过iframe、script等标签引用了跨域资源,并且该资源的MIME类型为上述可能包含敏感信息的类型,同时响应头不满足跨域条件,浏览器同样会触发CORB机制阻止跨域资源的读取。

如需更详细的信息,可以参考 https://chromium.googlesource.com/chromium/src/+/refs/heads/main/services/network/cross_origin_read_blocking_explainer.md

静水流深,沧海一粟
关注
  • 25
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jsonp跨域资源引起CORB
weixin_34274029的博客
02-26 2334
一、jsonp的使用 jsonp是实现跨域请求数据的一种方式,解决了由于浏览器同源策略带来的安全限制;虽然浏览器有同源策略的限制,但对于一些特殊的dom元素却可引用非同源资源,例如&lt;img src=""/&gt; &lt;script src=""/&gt;等,下面结合例子说明: jquery直接发起ajax调用 服务端代码 @Re...
出现Cross-Origin Read Blocking (CORB) blocked cross-origin response 报错解决方法
desjs7499的博客
05-10 1万+
1.错误分析 这里我调用的是qq音乐的一个接口 所有的的参数 都和qq音乐那边的保持一致。 当我 console.log所抓取数据时,查看控制台时发现了以下错误 其实禁止跨域请求是浏览器本身的一种安全策略。 2.跨域资源共享(Cross-Origin-Resource-Sharing) 跨域资源共享(CORS)机制,是为了浏览器能更为安全的处理...
Cross-Origin Read Blocking (CORB) 跨域读阻塞
最新发布
泯泷的博客
08-26 842
跨源读取阻止 (CORB),这是一种算法,通过该算法可以识别可疑的跨源资源加载,并在它们到达网页之前被 Web 浏览器阻止。CORB 通过使敏感数据远离跨源网页来降低泄露敏感数据的风险。在大多数浏览器中,它将此类数据排除在不受信任的脚本执行上下文之外。在具有的浏览器中,它可以将此类数据完全排除在不受信任的渲染器进程之外,甚至有助于抵御边信道攻击。
Cross-Origin Read Blocking (CORB) blocked cross-origin response
热门推荐
YangzaiLeHeHe的博客
11-02 2万+
文章目录一、背景二、描述问题1、前因后果2、分析三、CORS1、 概念四、CORB1、概念2、一些概念3、说正事4、分析 一、背景 最近一直在做项目联调,由于系统对接了N个第三方厂商,于是乎扯出了一堆的跨域问题,他们是下面这样的: https域名访问http域名被浏览器禁止 接口未开放跨域能力 有一天 我看到了这个: 看不清的话看这里 Cross-Origin Read Blocking (CORB) blocked cross-origin response https://a.g.t.cn
跨域的解决方案有多重JSONP、Flash、Iframe等,当然还有CORS(跨域资源共享,Cross-Origin Resource Sharing)
01-06
然而,随着Web应用的发展,跨域数据交互的需求日益增多,因此催生了一系列跨域解决方案,包括JSONP、Flash、Iframe以及CORS(跨域资源共享,Cross-Origin Resource Sharing)。 首先,JSONP(JSON with Padding)是...
完美解决浏览器跨域的几种方法(汇总)
12-03
当尝试通过JavaScript进行跨域请求时,浏览器会阻止这种行为,如使用Ajax请求时会遇到"Access-Control-Allow-Origin"头部缺失导致的错误。 【解决跨域的几种方法】 1. JSONP(JSON with Padding):这是一种较早的...
static-initializer-blocking-demo
05-15
在Java编程语言中,静态初始化程序(也称为静态块)是一种特殊的代码段,它在类加载时执行,用于初始化类的静态字段。这种机制对于确保类的静态变量在使用前被正确设置非常重要。本篇文章将深入探讨静态初始化程序的...
to-kill-a-blocking-bird
03-29
在IT行业中,"to-kill-a-blocking-bird" 这个标题可能是在引用《杀死一只知更鸟》这本著名小说的名字,同时将其与解决技术问题的场景相结合。在这个上下文中,"bird" 可能暗指某个阻碍系统运行或者性能的元素,而...
let-prove-blocking-queue:以多种方式证明阻塞队列的死锁状态
02-02
"let-prove-blocking-queue"项目显然旨在通过多种方法分析和证明阻塞队列的死锁状态。 死锁是并发编程中的一个重要问题,它通常涉及到四个条件:互斥、占有并等待、无剥夺和循环等待。在阻塞队列中,这四个条件可能...
访问跨域资源报CORBCross-Origin Read Blocking) 问题
petrel88的博客
05-30 669
问题:JS 访问跨域资源报CORB 问题。样例代码, url是个跨域JSON。在Chrome启动时,增加禁用参数。
geoserver 关于跨域出错Cross-Origin Read Blocking (CORB) blocked cross-origin response
加油 (•̀ᴗ•́)و ̑̑
10-24 1975
首先检查geoserver 跨域设置 之后查看请求的工作区是否正确 我的问题就是工作区出错了,写成另一个工作区,WMS服务无法发送请求
在线预览pdf。Cross-Origin Read Blocking (CORB) blocked cross-origin response****with MIME type text/html
qq_42148925的博客
06-19 558
在线预览pdf跨域
谷歌空间从服务器检索信息时出错,谷歌,火狐提示来自"http://xxx.com/file"的资源已被阻止,因为 MIME 类型("text/plain")不匹配(X-Content-Type-Opt...
weixin_34060561的博客
08-13 3343
在使用ueditor编辑的过程中无法上传图片,谷歌火狐浏览器提示Cross-Origin Read Blocking (CORB) blocked cross-origin response http://XXX?action=config&callback=bd__editor__dkhbuv with MIME type text/plain,怎么解决?查看该文件请求,发现服务器返回头...
解决跨域的两种方案
流年梦里风起舞
11-07 2万+
一、跨域与同源策略 跨域,通俗地讲,是指一个服务A的客户端请求另一个服务B的数据。下面给出了跨域的图示。 在上面这个图中,描述了客户端与服务A关系,也就是说,客户端不允许对服务A以外的服务进行访问。这就是典型的跨域问题。通常同源策略与跨域紧密联系在一起。同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,域名,协议,...
解决GeoServer(版本2.20.3)的跨域响应问题
yagebu1983的专栏
05-27 4436
1、问题描述 在使用geoserver搭建的gis服务过程中,在利用WMS请求相关图层时,出现了多个“Cross-Origin Read Blocking (CORB)已屏蔽 MIME 类型为 text/xml 的跨域响应”的跨域提示,造成图层没有呈现出来。 2、解决方法 经过查询资料,通过修改geoserver的配置文件和扩展jar可以实现跨域响应的问题。 3、解决过程 第一步,如果geoserver服务正在运行,建议先关闭geoserver服务; 第二部,打开geoserver\WEB-IN
cross-origin read blocking (corb) blocked cross-origin response
06-28
### 回答1: Cross-Origin Read Blocking (CORB) 是一项安全功能,用于阻止网页从不同源(即不同域名)读取敏感数据。如果 CORB 检测到跨域请求的数据属于敏感类型,它将阻止该请求并返回错误信息。 ### 回答2: 首先,我们需要了解同源策略(Same Origin Policy)。同源策略是一种安全机制,限制了网站在脚本中如何操作来自不同来源的文档、窗口或框架。简而言之,如果两个页面拥有协议、主机和端口号完全相同,那么它们就是同源的。 而当请求跨域资源时,服务器必须在响应中设置特定的HTTP头——CORS(Cross-Origin Resource Sharing)授权。这个头告诉浏览器是否允许一个页面访问来自不同源服务器的特定资源。如果服务器没有设置这个HTTP头,浏览器默认会阻止请求。 那么,什么是CORB呢?CORB是Chrome浏览器所实现的另一种安全机制,其目的在于防止来自不同源服务器的恶意代码,以及保护隐私信息。它会拦截并阻止一部分潜在的XSS攻击,并使渲染过程更高效。 当我们在Chrome中请求跨域资源时,如果返回的内容被Chrome识别为危险的MIME类型,并且服务器没有设置CORS授权的HTTP头,就会出现“Cross-Origin Read BlockingCORB)Blocked Cross-Origin Response”的错误。这个错误意味着浏览器无法读取来自另一个域的响应,因此,浏览器会阻止访问这些跨域资源。 所以,解决这个错误的方法是服务器需要设置CORS授权的HTTP头。如果服务器无法设置这个HTTP头,我们就不能直接从JS中访问这些跨域资源了,而需要采取其它的处理方式,比如通过代理等。 ### 回答3: Cross-origin read blocking (CORB)是一种浏览器安全机制,旨在防止跨站脚本攻击和信息泄漏,防止恶意网站通过注入恶意脚本来窃取用户敏感信息。在实际应用中,由于站点间跨域问题,有可能会经常遭遇到“cross-origin read blocking (corb) blocked cross-origin response”的提示。 “cross-origin read blocking (corb) blocked cross-origin response”提示意味着当前页面试图读取另一个域名下的资源,然而在跨域请求中,目标站点返回了一个被拦截的响应。这通常意味着当前页面试图从一个不受信任的域名下请求资源。浏览器会拦截这个跨域请求,防止页面从其他站点获取潜在的危险信息。 要解决“cross-origin read blocking (corb) blocked cross-origin response”问题,有几种方法: 1. 通过设置CORS(跨域资源共享)来允许站点间跨域访问。这需要在目标站点上设置一些标头,例如“Access-Control-Allow-Origin”。 2. 可以考虑使用JSONP(JSON with padding)方法,这是一种跨域请求的方法,它可以通过动态地在页面上添加一个脚本来请求数据。 3. 使用代理服务器可以将跨域请求转发到另一个域名下,以避免被拦截。 总体而言,“cross-origin read blocking (corb) blocked cross-origin response”提示意味着当前页面试图从一个不受信任的站点获取潜在的危险信息。为了保障用户安全和信息安全,浏览器会阻止这样的跨域请求。开发者可以通过设置CORS或使用JSONP等方法来解决这一问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值