cors&jsonp基础

最新推荐文章于 2022-08-06 23:52:44 发布
最新推荐文章于 2022-08-06 23:52:44 发布
阅读量163 收藏
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feixia2009/article/details/106190900
版权

cors&jsonp攻击&防御

同源策略

不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源。那么何为同源呢,即两个站点需要满足同协议,同域名,同端口这三个条件。

cors

CORS,跨域资源共享(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。

跨域访问的场景

  1. 比如后端开发完一部分业务代码后,提供接口给前端用,在前后端分离的模式下,前后端的域名是不一致的,此时就会发生跨域访问的问题。
  2. 程序员在本地做开发,本地的文件夹并不是在一个域下面,当一个文件需要发送ajax请求,请求另外一个页面的内容的时候,就会跨域。
  3. 电商网站想通过用户浏览器加载第三方快递网站的物流信息。
  4. 子站域名希望调用主站域名的用户资料接口,并将数据显示出来。

配置允许跨域

两个重要参数:

  1. Access-Control-Allow-Origin指是允许访问的源
  2. Access-Control-Allow-Credentials指的是允许带上cookie访问资源

配置实例

<? php
header("Access-Control-Allow-Origin:http://www.evil.com");
header("Access-Control-Allow-Credentials:true");
phpinfo();
?>

注意如下配置看上去允许所有,但实际上浏览器会拒绝(浏览器的安全机制)

Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true

参考: https://segmentfault.com/a/1190000012550346

cors问题如何发现

可以借助bp,将请求头中添加头信息查看返回,是否信任该域,如果信任则可以进行跨域
如何判断: 当提交了如下请求侯,查看具体的响应,理论上会有一些信息返回,比如是否信任该域,以及对该域是否可允许带cookie访问的一些限制。

请求内容
Origin:foo.example.org (后面的域名信息自行替换)
响应内容
HTTP/1.0 200 OK
Access-Control-Allow-Origin: foo.example.org
Access-Control-Allow-Credentials: true

测试记录

结合nginx进行测试
nginx 配置

location / {
    #include /usr/share/nginx/html/XSS/.htaccess;
        add_header Access-Control-Allow-Origin *;
        add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
        add_header Access-Control-Allow-Headers 'User-Agent, Referer, Content-Type';
        if ($request_method = 'OPTIONS') {
        return 204;
        }
    }
这里是允许所有来源

测试结果:

在请求头中加入origin: http://www.sina.com.cn  响应了具体的配置信息
如下:
HTTP/1.1 304 Not Modified
Server: nginx/1.10.2
Date: Mon, 18 May 2020 05:04:01 GMT
Last-Modified: Mon, 31 Oct 2016 12:37:02 GMT
Connection: keep-alive
ETag: "58173aee-e74"
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET, POST, OPTIONS
Access-Control-Allow-Headers: User-Agent, Referer, Content-Type

jsonp

JSONP是一种简单的服务器与客户端跨域通信的办法,此种跨域只能发起GET请求。其基本思想是网页通过添加一个script元素,向服务器请求JSON数据,这种做法不受同源策略限制。服务器收到请求后,将数据放在一个指定名字的回调函数里传回来。

cors 结合xss

有时候CORS配置了信任自身的任意子域,那么如果一个子域存在XSS漏洞就可以通过这个漏洞去读取其他子域的资源,类似的场景还有比如HTTPS域信任HTTP域等。
批量检测的话可以通过inurl: ?callback= 关键字来进行搜索

cors 扫描工具

github上提供了一个关于扫描CORS配置漏洞的脚本,https://github.com/chenjj/CORScanner

一些高级利用方式

参考: https://www.freebuf.com/articles/terminal/175609.html

参考

  • 包含靶机:https://www.freebuf.com/column/207802.html
luyg24
关注
专栏目录
如何用CORS来解决JS中跨域的问题
u014381863的博客
03-28 3504
最近楼主在写代码的时候遇到了一个比较纠结的问题,需要在http请求的页面调用HTTPS的请求,但因为进行了跨域,导致请求失败。在这个过程中,楼主找了很多办法,如JSONP等,但都不能满足我的需求,后来,楼主发现,CORS提供了一套AJAX跨域问题的解决方案。 CORS的原理:CORS定义一种跨域访问的机制,可以让AJAX实现跨域访问。CORS 允许一个域上的网络应用向另一个域提交跨域 AJAX 请求
跨域、CORSJSONP
baidulixueqin的博客
02-15 1359
跨域、CORSJSONP(面试必考) ajax和Promise的跨域问题 跨域一般用2种方案JSONPCORS 跨域 前端与后端的交互。 关键知识 1.同源策略 浏览器故意设计的一个功能限制 2.CORS 突破浏览器限制的一个办法 3.JSONP IE时代的妥协 一.同源策略 1.同源定义 源 控制台输入window.origin或location.origin可以得到当前源 源=协议+域名+端口号 如果两个url的协议、域名、端口号完全一致,那么这两个url就是同源的。 举例 https://
CORS跨域资源共享漏洞的原理与挖掘方法
seek_2022的博客
08-06 4551
本文介绍了CORS漏洞的原理、靶场搭建方法、漏洞挖掘方法、自动化扫描工具、及CORS漏洞的修复建议,希望对大家学习渗透测试有一定的帮助。
CORS解决ajax跨域问题
Saytime
05-31 2万+
一、介绍 CROS是现在主流解决跨域问题的方案,未来估计也是趋势。 1. 跨域资源共享(CORS)Cross-Origin Resource Sharing (CORS) 是W3c工作草案,它定义了在跨域访问资源时浏览器和服务器之间如何通信。CORS背后的基本思想是使用自定义的HTTP头部允许浏览器和服务器相互了解对方,从而决定请求或响应成功与否。2. CORSJSONPCORSJSONP
CORS 几种解决方案
制心入境
08-26 1万+
CORS背后的基本思想是使用自定义的HTTP头部允许浏览器和服务器相互了解对方,从而决定请求或响应成功与否. Access-Control-Allow-Origin:指定授权访问的域 Access-Control-Allow-Methods:授权请求的方法(GET, POST, PUT, DELETE,OPTIONS等) 一:简单的自定义CORSFilter / Intercepto
ajax跨域CORS方案 JSONP跨域请求方案.zip
01-06
本文将深入探讨两种主要的跨域解决方案:CORS(Cross-Origin Resource Sharing)和JSONP(JSON with Padding)。 ### CORS方案 CORS是一种现代浏览器支持的跨域策略,允许服务器声明哪些源可以访问其资源。服务器...
Ajax-cors-jsonp-sample.zip
09-17
Ajax-cors-jsonp-sample.zip,客户端和服务器端(Java)用于跨源资源共享(CORS)的示例。,ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和javascript。它用于创建动态网页,其中...
同源策略与cors跨域及jsonp劫持
j1044957016的博客
05-31 883
文章目录前言一、同源策略二、Ajax技术三、CORS跨域1.简单请求2.非简单请求3.漏洞成因及修复四、jsonp劫持总结 前言 本文整理同源策略,Ajax,cors跨域及jsonp劫持 一、同源策略 同源策略(Same Origin Policy):该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。(防止内部资源被外部页面脚本读取或篡改) 浏览器的同源策略规定: 不同域的客户端脚本在没有
Web跨域技术探讨:CORSJSONP与WebSocket
CORS适合需要复杂交互且安全性要求较高的场景,JSONP适用于只需要GET请求的简单跨域,而WebSocket则在需要实时通信时成为首选。了解和熟练掌握这些技术,对于Web开发人员来说至关重要,能够提高应用程序的功能和用户...
HTML5安全:CORS(跨域资源共享)简介
tempsitegoogle
07-09 678
前言:像CORS对于现代前端这么重要的技术在国内基本上居然很少有人使用和提及,在百度或者Google上搜索CORS,搜到的中文文章基本都是另外一种卫星定位技术CORS的介绍,让我等前端同学情何以堪(对比起来,用Google搜到的国外文章,基本都是跨域资源共享的介绍,说明了前端技术在国内外环境和发展的巨大差距)。 我之前《用HTML5实现人脸识别》这篇文章中提到了“Face.com实...
Apache中配置支持CORS(跨域资源共享)实例
xiongsha的专栏
06-29 1万+
[以下内容为转载] 当使用ajax跨域请求时,浏览器报错:XmlHttpRequest error: Origin null is not allowed by Access-Control-Allow-Origin.肯定是跨域的问题,如果用jsonp或者proxy的方式进行修改的话未免需要太大的工程量,所以采用CORS这种比较简单高效的技术。相比JOSP的方式,CORS更为高效。JSO
Spring MVC配置CORS(解决跨域请求)
switch513的博客
01-19 4万+
1. CORS 简介 同源策略(same origin policy)是浏览器安全的基石。在同源策略的限制下,非同源的网站之间不能发送 ajax 请求的。 为了解决这个问题,w3c 提出了跨源资源共享,即 CORS(Cross-Origin Resource Sharing)。 CORS 做到了两点: 不破坏即有规则服务器实现了 CORS 接口,就可以跨源通信 基于这两点,CORS
Java Web前后端分离中CORS配置及OPTIONS请求优化
fr1d4st的博客
07-03 1030
文章目录@[toc]Java Web前后端分离中CORS配置及OPTIONS请求优化0x00 CORS 概述0x01 Filter中配置CORS0x02 SpringBoot中配置CORS全局配置单独配置0x03 OPTIONS请求优化 Java Web前后端分离中CORS配置及OPTIONS请求优化 0x00 CORS 概述 跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告...
设置header,实现跨域访问
zyb2010yaonuli的博客
02-27 7321
受浏览器的同源策略限制,JavaSript只能请求本域内的资源。跨域资源共享(Cross-Origin Resource Sharing, CORS)是为解决Ajax技术难实现跨域问题而提出的一个规范,这个规范试着从根本上解决安全的跨域资源共享问题。在此之前,解决此类问题的途径往往是服务器代理、JSONP等,治标不治本。目前基本所有浏览器都已经支持该规范。 一个域是由schema、host、...
tomcat跨域配置CORS/web.xml配置准许跨域
向阳
04-08 1万+
直接上代码 web.xml配置如下: &lt;filter&gt; &lt;filter-name&gt;tracingContextFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.maycur.common.util.web.TracingServletContextFilter&lt;/filter-...
CORS(跨域资源共享) 的配置
热门推荐
曾健生的专栏
05-26 4万+
http://blog.csdn.net/ohyoyo2014/article/details/24863197 兼容情况: 各种新版本的ie10,firefox,opera,safari,chrome以及移动版safari和android浏览器 ie9及一下版本请使用flash方式来兼容 通过OPTIONS请求握手一次的方式实现跨根域发送请求,需要服务端配
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值