什么是跨域,有什么攻击,如何防止攻击

nginx跨域配置

    首先,贴上nginx work的配置

server{
listen 8099;
server_name wdm.test.cn;
location / {

  // 没有配置OPTIONS的话,浏览器如果是自动识别协议(http or https),那么浏览器的自动OPTIONS请求会返回不能跨域
  if ($request_method = OPTIONS ) {
    add_header Access-Control-Allow-Origin "$http_origin";
    add_header Access-Control-Allow-Methods "POST, GET, PUT, OPTIONS, DELETE";
    add_header Access-Control-Max-Age "3600";
    add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept, Authorization";
    add_header Access-Control-Allow-Credentials "true";
    add_header Content-Length 0;
    add_header Content-Type text/plain;
    return 200;
  }
  add_header 'Access-Control-Allow-Origin' '$http_origin';
  add_header 'Access-Control-Allow-Credentials' 'true';
  add_header 'Access-Control-Allow-Methods' 'GET, PUT, POST, DELETE, OPTIONS';
  add_header 'Access-Control-Allow-Headers' 'Content-Type,*';
  proxy_pass http://127.0.0.1:8080;
  }
}

 

    其次,既然碰到了就想理解下为什么需要这样,一开始脑袋还真钻进去了。

   以下引自知乎:

  • DOM同源策略:禁止对不同源页面DOM进行操作
  • XmlHttpRequest同源策略:禁止向不同源的地址发起HTTP请求
AJAX同源策略主要用来防止CSRF攻击。如果没有AJAX同源策略,攻击过程如下:
我们发起的每一次HTTP请求都会全额发送request地址对应的cookie,那么
  1. 用户登录了自己的银行页面向用户的cookie中添加用户标识
  2. 用户浏览了恶意页面 。执行了页面中的恶意AJAX请求代码
  3. 发起AJAX HTTP请求,请求同时对应cookie也同时发送过去
  4. 银行页面从发送的cookie中提取用户标识,验证用户标识无误,response中返回请求数据。此时数据泄露。
  5. 由于Ajax的后台执行,此时用户没有意识这一过程。
     引用内容完毕。
     从上面这段文字可知,如果在不需要服务器允许的前提下就能够进行跨域ajax请求的话,那么一个黑客网站只要你用了,那么你登录
过的其它系统的用户信息他都可以获取得到。
 
     好吧,再引一段 

        简单的说,你把Cookie托付给浏览器保存,浏览器要保证你的Cookie不被恶意网站利用。

        同源策略并不能防止DDos,因为跨域的Ajax也会被请求,如果用Ajax请求,浏览器会先发出 

   请求,并且带上的Cookie。拿到的响应之后(可能有敏感数据),浏览器才会根据Header

   里的Access-Control-Allow-Origin决定是否把结果交给里的脚本。(或者先发一个OPTIONS请求看一下CORS设

   置,再决定是否要发真正的请求。)

       因此浏览器只是起到了最基本的防御,在写程序的时候还是要注意防御CSRF,比如关键操作不要用GET,POST请求要做额外的验证(
   验证码,随机数,Refer,Token)等等。
    引用完毕,,不过有个疑问出现了,上面我提到OPTIONS是因为查询协议需要的,但是从这里来看就是去看看
跨域设置而已。希望有懂的朋友帮忙确定一下。

以上知乎内容转自:https://www.zhihu.com/question/20138568/answer/52659925

看下百度百科对同源策略的说法:
同源策略,它是由Netscape提出的一个著名的安全策略
现在所有支持JavaScript 的浏览器都会使用这个策略。
所谓同源是指,域名,协议,端口相同。
当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面
当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,
即检查是否同源,只有和百度同源的脚本才会被执行。[1] 
如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。
 
同源策略的精髓很简单:它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,
它们应该只被允许访问来自同一站点的资源,而不是那些来自其它站点可能怀有恶意的资源。
 
就是说浏览器不允许你进行跨域操作,但是也开了个口子,如果某服务就是希望大家在哪都能调用我,当然一般情况下是公司内部不同项目之间调用
用到这种场景较为平常,不然你写个谁都可以攻击你的网站干啥呀,让别人在脚本可以调用你的服务对你的服务器而言没有用,产品也没有增大曝光率,
简直百害而无一利。
 
 顺便转转讲XSS、CSRF的博文:
http://blog.csdn.net/ghsau/article/details/17027893
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
阅读更多
个人分类: 常用
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

不良信息举报

什么是跨域,有什么攻击,如何防止攻击

最多只允许输入30个字

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭