CORS(跨域资源共享)源验证失败解决方法

已于 2023-12-08 14:47:49 修改
阅读量7.5k 收藏 8
点赞数 2
分类专栏: 经验谈 文章标签: 服务器 前端 运维
于 2023-02-17 09:43:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/davidwkx/article/details/129078583
版权

在web系统中,安全软件扫描经常会发现CORS(跨域资源共享)作为高危漏洞出现。本文提供用Nginx作为反向代理的解决方案。解决方式是在nginx.conf文件中做如下配置:

  set $cors "";
 if ($http_origin ~* "^http?://.*\.xxxx\.com$") {
      set $cors $http_origin;
 }
 more_set_headers 'Access-Control-Allow-Origin: $cors';
 more_set_headers 'Access-Control-Allow-Credentials: true';
 more_set_headers 'Access-Control-Allow-Methods: GET,POST,OPTIONS';
 more_set_headers 'Access-Control-Allow-Headers: token,Authorization,DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
 more_set_headers 'Access-Control-Max-Age: 86400';

注意:

1、“xxxx.com"是示例域名,按你实际用到的更改。如果有多个外部域名,则逐一按if方式处理。不建议用”*“来代替所有。

2、配置位置1:在http中所有server之前,但可能不生效。不生效则用配置位置2方式。

3、配置位置2:放在server中的location部分之前。如果很多server,可单独放在一个文件中(如nginx.cors.item),在配置位置用下面语句引入:

#跨域配置
include /usr/local/nginx/conf/nginx.cors.item;

4、在location不要配置add_header,否则本处配置不生效。

这篇文章如果对您有所帮助或者启发的话,帮忙关注或点赞,有问题请评论,必有所复。您的支持是我写作的最大动力!

乐享技术
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CORS跨域资源共享漏洞
谢公子的博客
01-16 1万+
目录 CORS跨域资源共享 简单跨域请求 非简单请求 CORS的安全问题 有关于浏览器的同策略和如何跨域获取资,传送门——>浏览器同策略和跨域的实现方法策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,也带来了另外的问题。随着Web应用程序和微服务使用的日益增长,出于实用目的往往需要将信息从一...
跨域资源共享 CORS(Cross-origin resource sharing)
u012125579的专栏
03-23 7988
跨域资源共享 CORS(Cross-origin resource sharing)一、简介 CORS需要浏览器和服务器同时支持。目前,IE浏览器不能低于IE10。其他所有浏览器都支持该功能 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨,就会自动添加一些附加的头信息,有时还会
Nginx使用“逻辑与”配置origin限制,修复CORS跨域漏洞
qq_53058639的博客
03-02 2470
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
CORS跨域资源共享漏洞的复现、分析、利用及修复过程
最新发布
heike_Ch的博客
05-18 826
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目码(四五十个有趣且经典的练手项目及码)
vue+springboot实现项目的CORS跨域请求
12-09
跨域资源共享CORS(Cross-origin Resource Sharing),是W3C的一个标准,允许浏览器向跨服务器发起XMLHttpRequest请求,克服ajax请求只能同使用的限制。关于CORS的详细解读,可参考阮一峰大神的博客:跨域资源共享CORS详解。本文为通过一个小demo对该博客中分析内容的一些验证。 1.springboot+vue项目的构建和启动 细节不在此赘述,任何简单的springboot项目就可以,而前端vue项目只需用axios发ajax请求即可。 我的demo里填写用户名和密码,然后点击登录按钮向后台发起登录请求,js代码如下: methods:{
tomcat CORS跨域资源共享漏洞
ni_e_xin的博客
12-07 1410
tomcat cors跨域资源共享漏洞
资源共享 (CORS)|学习学习
画个圆圆的地球
11-09 446
资源共享(CORS) (或通俗地译为跨域资源共享)是一种机制,该机制使用附加的HTTP头来告诉浏览器,准许运行在一个上的Web应用访问位于另一不同选定的资。当一个Web应用发起一个与自身所在(域,协议和端口)不同的HTTP请求时,它发起的即跨HTTP请求。 跨HTTP请求的一个例子:运行在 http://domain-a.com的JavaScript代码使用XMLHttpRequest来发起一个到https://domain-b.com/data.json 的请求。 出于安全性...
关于web端漏洞及安全性问题的浅谈
weixin_43178103的博客
09-01 3577
前言: 本人以总结自己的错误,以及经验分享为初衷记录该文,希望可以帮助到一些新加入的朋友们 前段时间在部署了以python语言开发,django框架工具进行搭建的web后端程序,在反向nginx服务器,及uwsgi web服务器的支持下,并发数稳定在2000左右(小型企业非对外开放项目) 由于项目的特殊性,也是作为小白,第一次接触到项目的部分的安全性问题* 项目试运行阶段,甲方发送人工渗透测试检测漏洞 6处低危漏洞,11处中危漏洞,2处高危漏洞,对于一个项目开发人员,看到自己的项目有许多漏洞,还是挺意外的
CORS解决ajax跨域问题
Saytime
05-31 2万+
一、介绍 CROS是现在主流解决跨域问题的方案,未来估计也是趋势。 1. 跨域资源共享CORS)Cross-Origin Resource Sharing (CORS) 是W3c工作草案,它定义了在跨域访问资时浏览器和服务器之间如何通信。CORS背后的基本思想是使用自定义的HTTP头部允许浏览器和服务器相互了解对方,从而决定请求或响应成功与否。2. CORS与JSONPCORS与JSONP相
Nginx实战(九)跨域配置(解决CORS报错)
热门推荐
ouyida3的专栏
02-07 5万+
文章目录本章导读本章要点了解跨域以及产生原因跨域的常见解决方法方法一:add_header解决方案解释1. Access-Control-Allow-Origin2. Access-Control-Allow-Headers3. Access-Control-Allow-Methods4.给OPTIONS 添加 204的返回预检请求(preflight request)反向代理解决跨域1.'^~ ...
CORS跨域漏洞浅析
来到了学渣的博客
05-06 2337
CORS (Cross-OriginResource Sharing,跨资源共享) 其思想是使用自定义的HTTP头部让浏览器与服务器进行沟通。因为开发者需要进行跨域进行获取资,应用场景,在a.com,想获取b.com中的数据,常用的2种方法进行跨域一种为JSONP,一种为CORS.还有html标签也能跨域,有以下几种img, iframe,ink, script等。 简单流程 假设用户登陆一个...
你可能不知道的CORS跨域资源共享
10-17
主要给大家介绍了关于CORS跨域资源共享的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者使用CORS具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
form+iframe解决跨域上传文件的方法
09-01
虽然`form+iframe`方式可以实现跨域文件上传,但它也有一定的安全风险,因为服务器无法通过CORS(跨资源共享)来控制客户端的访问权限。此外,这种方法可能不支持某些现代浏览器的特性,比如`fetch` API或`...
guide-cors:有关如何在Open Liberty中启用跨域资源共享CORS)的指南
04-02
启用跨域资源共享CORS) 笔记该存储库包含指南文档。 要以已发布的形式查看该指南,请在上进行查看。 了解如何在Open Liberty中启用跨资源共享CORS),而无需编写Java代码。您将学到什么您将学习如何添加两...
nginx 配置跨域失效修复的方法示例
09-29
主要介绍了nginx 配置跨域失效修复的方法示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
动态创建script标签实现跨域访问的方法介绍
09-04
动态创建`<script>`标签是一种常见的跨域资源共享CORS方法,特别是在JavaScript中进行异步数据请求时。由于浏览器的同策略限制,JavaScript通常只能访问与当前页面同的资,但通过动态创建`<script>`标签,...
跨站资源共享CORS
zhutfly的博客
02-19 517
跨域http请求 当两个站点的协议(http、https、ftp)、域名、端口不同时,该两个站点构成跨域。出于安全原因, 浏览器会限制脚本发起跨域http请求(也有可能是正常发送,但是拦截返回值)。实际项目中常用的解决跨域方法通常有JSONP、CORS等。 使用CORS跨域 JSONP跨域比较简单,不需要服务器端配合,但是只能发送GET请求;CORS是目前使用最为广泛的跨...
前后端分别解决跨域问题 CORS错误
ZhaZha_Yi的博客
04-27 499
从前后端解决 跨域问题解决 CORS错误。
跨域资源共享CORS漏洞
yz18931904的博客
04-19 948
(186条消息) 跨域资源共享CORS漏洞_Luckysec的博客-CSDN博客_cors跨域资源共享漏洞 https://www.bugbank.cn/live/view.html?id=111824 https://blog.csdn.net/m0_38103658/article/details/102721402 https://research.qianxin.com/archives/290
cors跨域资源共享
07-28
CORS(Cross-Origin Resource Sharing)是一种机制,用于允许在一个域名下的Web应用程序访问另一个域名下的资。默认情况下,浏览器会限制跨域请求,以防止恶意的行为。但是,使用CORS服务器可以通过在响应头中包含特定的标头来指示浏览器允许跨域请求。 要启用CORS服务器需要在响应头中包含一些特定的标头字段。其中最常见的是"Access-Control-Allow-Origin",它指定了允许访问资服务器可以设置这个字段为特定的域名,或者使用通配符"*"来表示允许来自任何域的请求。 此外,还有其他一些相关的标头字段,例如"Access-Control-Allow-Methods"用于指定允许的HTTP方法,"Access-Control-Allow-Headers"用于指定允许的请求头,以及"Access-Control-Allow-Credentials"用于指示是否允许发送身份验证凭据。 在客户端发起跨域请求时,浏览器会首先发送一个预检请求(OPTIONS请求),以获取服务器是否支持跨域请求。服务器收到预检请求后,会返回相应的响应头以及状态码,如果满足要求,则浏览器会发送实际的请求。 需要注意的是,CORS仅适用于浏览器发起的请求,对于直接通过HTTP工具发送的请求,不会受到CORS的限制。此外,CORS仅在符合同策略的情况下才会生效,即协议、域名和端口号必须完全相同。 希望这能解答你关于CORS跨域资源共享的问题!如果还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乐享技术

每一个打赏,都是对我最大的鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值