超级会员免费看
CORS(跨域资源共享)是一种放宽同源策略的机制,允许浏览器向跨源服务器发送XMLHttpRequest请求。简单请求只需Origin字段,非简单请求会先发送OPTIONS预检请求。错误配置可能导致安全问题,如允许任意域的跨域请求,使得数据易受攻击。CORS漏洞利用包括服务端Access-Control-Allow-Origin设置为*且不允许凭据,或动态设置Origin导致数据泄漏。
目录
有关于浏览器的同源策略和如何跨域获取资源,传送门——> 浏览器同源策略和跨域的实现方法
同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,也带来了另外的问题。随着Web应用程序和微服务使用的日益增长,出于实用目的往往需要将信息从一个子域传递到另一个子域,或者在不同域之间进行传递(例如将访问令牌和会话标识符,传递给另一个应用程序)。
为了允许跨域通信,开发人员必须使用不同的技术来绕过SOP并传递敏感信息,以至于现今也成为了一个棘手的安全问题。因此,为了在不影响应用程序安全状态的情况下实现信息共享,在HTML5中引入了跨源资源共享(CORS)。但问题也随之而来,许多人为了方便干脆直接使用默认的配置,或是由于缺乏对此的了解而导致了错误的配置。
CORS跨域资源共享
跨域资源共享(CORS)是一种放宽
订阅专栏 解锁全文
扫一扫
1179
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
