Access-control-allow-origin:*并没有实际危害(更新)

最新推荐文章于 2024-04-22 11:23:29 发布
最新推荐文章于 2024-04-22 11:23:29 发布
阅读量6.3w 收藏 23
点赞数 3
分类专栏: Web安全 文章标签: 跨域 CORS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haoren_xhf/article/details/80050311
版权

一、网站一般在需要共享资源给其他网站时(跨域传递数据),才会设置access-control-allow-origin HTTP头。而跨域传递数据也可以使用jsonp方式

 

二、如果www.a.com域设置了access-control-allow-origin:* http头, 其他任何域包括www.b.com域的js就可以使用Ajax技术读取到​www.a.com域的数据

三、根据w3c标准:​http://www.w3.org/TR/cors/#resource-requests,如果www.b.com域下js要读取到www.a.com域下的需要登录才能访问的资源,需要www.a.com域同时设置了 Access-Control-Allow-Credentials: true头(即允许third-party cookie)

并且如果设置access-control-allow-origin为*星号(任何域),则Access-Control-Allow-Credentials头是不能设置为true的,如下图,参见​http://www.w3.org/TR/cors/#resource-requests

 

所以理论上网站设置了​Access-control-allow-origin: *,并没有实际危害,因为并不能跨域读取私密数据(登录后才可见数据)

 

四、然而否存在实际危害取决于浏览器是否遵循该标准(chrome、firefox等主流浏览器均遵循)

浏览器发出​跨域请求时,若Ajax没有setRequestHeader,则会直接发出请求,根据响应头中的access-control-allow-origin是否设置允许当前域(设置*,即允许任何域),来决定是否将数据交给js处理(其实数据已经返回到浏览器,但页面js无法拿到)

另外若同时设置了星号和withCredentials,浏览器也会拒绝将数据返回到js。浏览器在这个层面上是安全的

但是浏览器插件却往往会忽略http header的设置,比如postman​,不免有其他利用方式。

所以服务器应设置白名单。(使用jsonp跨域共享资源存在更多风险,有机会写写jsonp)

五、测试使用的代码如下http://localhost/test.htm,发送请求到http://127.0.0.1/对于浏览器来说就是在跨域,方便测试

 

ps:​ setRequestHeader需要在open之后调用。如果调用了setRequestHeader,浏览器会先发出OPTION请求到目标网站,确认是否设置Access-Control-Allow-Headers: content-type等。默认ajax发送数据为form格式,发送json格式数据需要服务器设置过Access-Control-Allow-Headers: content-type头才行

 

update:发现许多网站会根据请求头中的Origin值然后设置Access-control-allow-origin,且同时设置了Access-Control-Allow-Credentials为true,导致可以被黑客利用

Access-control-allow-origin:null 是可以携带cookie的

======================分割线=================

六、不携带cookie的利用姿势

以上说的Access-control-allow-origin: *情况,是不能跨域读取(需cookie认证的)隐私数据。

但也存在特定场景下不需要cookie也能攻击的:

》基于ip认证的资源跨域读取

》缓存投毒,增加Vary: Origin http头可以避免

 

 

===================2021/2/20更新===========

由于samesite cookie,此类攻击威力大打折扣,见文章samesite cookie防御CSRF漏洞_zzzzfeng的博客-CSDN博客

深入浅出_balance
关注
  • 3
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Access-Control-Allow-Origin
08-27
谷歌浏览器扩展程序一键解决本地开发跨域问题,让你不用乱mock数据,Access-Control-Allow-Origin工具包
Nginx配置跨域请求Access-Control-Allow-Origin * 详解
09-09
主要给大家介绍了关于Nginx配置跨域请求Access-Control-Allow-Origin * 的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Nginx具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
没错,就是Access-Control-Allow-Origin跨域
juruiyuan111的专栏
03-19 571
1、浏览器的同源安全策略 没错,就是这家伙干的,浏览器只允许请求当前域的资源,而对其他域的资源表示不信任。那怎么才算跨域呢? 请求协议http,https的不同 域domain的不同 端口port的不同 好好好,大概就是这么回事啦,下面我们讲2种中规中矩的办法:CORS,JSONP document.domain,window.name,web sockets就先别闹了,腰不好 : ) 2、CORS出来搞事了 这是W3C的大佬们搞出来的标准,全称是"跨域资源共享"(Cross-ori...
Nginx配置跨域请求 Access-Control-Allow-Origin *
橘导的博客
04-22 886
当出现403跨域错误的时候 No 'Access-Control-Allow-Origin' header is present on the requested resource。
正确配置Access-Control-Allow-Origin,千万不要设置成*
热门推荐
baijiafan的博客
08-24 7万+
正确配置Access-Control-Allow-Origin,千万不要设置成*,这样的配置太不安全。
Access-Control-Allow-Origin跨域解决及详细介绍
weixin_53841730的博客
01-31 3万+
我们能不能想办法,让我们的请求不通过ajax,而是通过给body中追加一个节点,这个节点的src值就是我们希望的要请求的目标接口,这样,服务器端返回的数据不就绕过这个跨域限制,将数据拿回来了。首先,跨域不是问题。跨域并不会阻止请求的发出,也不会阻止请求的接受,跨域是浏览器为了保护当前页面,你的请求得到了响应,浏览器不会把响应的数据交给页面上的回调,取而代之的是去提示你这是一个跨域数据。而当你上线项目时,如果你的代理配置得不够优雅,或者不够标准,你要小心了,非常有可能你的请求就都会失败。
跨域Access-Control-Allow-Origin 简单介绍
Milk~每天分享一点点,技术进步一点点
08-04 9262
概念 Access-Control-Allow-Origin是HTML5中定义的一种解决资源跨域的策略。 他是通过服务器端返回带有Access-Control-Allow-Origin标识的Response header,用来解决资源的跨域权限问题。 使用方法 在response添加 Access-Control-Allow-Origin,例子: 一、Access-Control-Allow-Origin:www.google.com www.google.com是访问的域名,根据实际情况设置。 二、
Access-Control-Allow-Origin跨域问题,使用Nginx配置来解决
wangzuao的博客
06-14 1万+
例如:A服务器是liunx系统部署了一个java程序,B服务器是本地服务器,A服务器需要请求访问B服务器的资源,可以用nginx代理来请求到B服务器的资源。链接: nginx步骤:下载完成后安装运行在A服务器上面,先运行看看有没有问题,这里不细说,然后找到开始配置nginx.conf文件(重点) 一、如何配置你的nginx.conf 添加一个server{},这是你的服务,listen参数是你要监听的端口,这个端口可以自定义,server_name localhost,这个一般就是A服务器的域名地址,记
错误Access-Control-Allow-Origin原因及解决方法
qq_39842253的博客
04-03 1万+
原因:游览器有同源策略的限制,阻止你使用JavaScript从跟你不同源的网站(别人的网站服务器)获取数据 解决方法:让提供数据的服务器,通过HTTP响应头设置Access-Control-Allow-Origin -> ‘*’ 只是让游览器忽略,跟服务器逻辑无关 跨域取数据 ...
Allow CORS Access-Control-Allow-0.1.9.zip
12-26
名称:Allow CORS Access-Control-Allow ---------------------------------------- 版本:0.1.9 作者:Muyor 分类:生产工具 ---------------------------------------- 概述:轻松将(Access-Control-Allow-Origin...
Nginx跨域设置Access-Control-Allow-Origin无效的解决办法
01-10
add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET,POST'; 使用以下配置,生效。 if ($request_method = '...
ajax 设置Access-Control-Allow-Origin实现跨域访问
06-06
ajax跨域访问是一个老问题了,解决方法很多,比较常用的是JSONP方法,JSONP方法是一种非官方方法,而且这种方法只支持GET方式,不如POST方式安全。 即使使用jquery的jsonp方法,type设为POST,也会自动变为GET。如果跨域使用POST方式,可以使用创建一个隐藏的iframe来实现,与ajax上传图片原理一样,但这样会比较麻烦。因此,通过设置Access-Control-Allow-Origin来实现跨域访问比较简单。
Chrome插件 Allow-Control-Allow-Origin:*
05-04
Access-Control-Allow-Origin 解决跨域权限问题,在谷歌浏览器输入:chrome://extensions,然后把下载好的文件拖入chrome://extensions页面,点击安装即可完成安装即可使用
Allow-Control-Allow-Origin
09-20
解决浏览器跨域请求出现No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:8100' is therefore not allowed access.问题
使用Access-Control-Allow-Origin解决跨域
进击的前端小白
05-20 3523
使用Access-Control-Allow-Origin解决跨域 什么是跨域 当两个域具有相同的协议(如http), 相同的端口(如80),相同的host(如www.google.com),那么我们就可以认为它们是相同的域(协议,域名,端口都必须相同)。 跨域就指着协议,域名,端口不一致,出于安全考虑,跨域的资源之间是无法交互的(例如一般情况跨域的JavaScript无法交互,当然有很多解决跨域的方案) Access-Control-Allow-Origin Access-Control-Allow-Or
跨域 解决办法:利用 Access-Control-Allow-Origin
CaseyWei
04-19 4万+
传统的跨域请求没有好的解决方案,无非就是jsonp和iframe,随着跨域请求的应用越来越多,W3C提供了跨域请求的标准方案(Cross-Origin Resource Sharing)。IE8、Firefox 3.5 及其以后的版本、Chrome浏览器、Safari 4 等已经实现了 Cross-Origin Resource Sharing 规范,实现了跨域请求。 在服务器响应客户...
设置Access-Control-Allow-Origin来实现跨域
letmesisi的博客
08-08 6076
本文通过设置来实现跨域。例如:客户端的域名是client.runoob.com,而请求的域名是server.runoob.com。
遇到带 Access-Control-Allow-Origin: *, 还会跨域报错的情况
q503385724的博客
03-09 2643
Access to fetch at 'http://localhost:8001/bos/orders/count' from origin 'http://localhost:8080' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: Th...
Java Demo示例:Springboot解决Access-Control-Allow-Origin跨域问题、浏览器同源策略详解
学以致用 知行合一
05-04 1万+
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。同源策略是一种关键的安全机制,它限制一个源加载的文档或脚本如何与另一个源的资源进行交互。 跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。之所以会跨域,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。...
Access-Control-Allow-Origin:*
最新发布
05-21
"Access-Control-Allow-Origin"是CORS跨域资源共享)机制的一部分,用于控制跨域资源共享的访问权限。"*"指允许所有来源访问资源,但是在生产环境中,应该避免使用星号,而应该指定实际的源,以提高安全性。如果在响应头中没有设置"Access-Control-Allow-Origin",浏览器将阻止对资源的访问。 以下是一个设置响应头“Access-Control-Allow-Origin:*” 的 Node.js Express框架的例子: ```javascript const express = require('express'); const app = express(); app.use(function(req, res, next) { res.header("Access-Control-Allow-Origin", "*"); next(); }); app.get('/', function(req, res) { res.send('Hello World!'); }); app.listen(3000, () => { console.log(`Example app listening at http://localhost:3000`) }); ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值