CORS(跨域资源共享)的防御机制

最新推荐文章于 2024-08-20 10:51:49 发布
最新推荐文章于 2024-08-20 10:51:49 发布
阅读量664 收藏
点赞数
原文链接:http://www.cnblogs.com/KevinGeorge/p/8295919.html
版权

一、为什么会出现CORS:

  浏览器的同源策略给WEB开发人员带来了巨大的痛苦,信息的交互共享本来就是网络的意义。所以妥协之后出现了CORS。

二、技术原理:

1、简单跨域:

(1)方法要求:只能是GET、POST、HEAD方法。

(2)头部要求:只能有四个字段Accept、Accept-Language、Content-Language、Last-Event-ID;如果设置了Content-Type只能是application/x-www-form-urlencoded,multipart/form-data,text/plain三者之一。

(3)不满足上述条件约束的时候,会要求浏览器(客户端)先验证一个OPTIONS方法的报文,携带验证的头部字段,Access-Control-Request-Method和Access-Control-Request-Headers当得到服务器认可的resposne报文后则可以继续执行,认可字段:Access-Control-Allow-Origin、Access-Control-Allow-Methods、Allow-Control-Allow-Headers来表达认可的细则。

#此外还有:

Allow-Control-Max-Age(时间范围)、Allow-Control-Allow-Credentials(是否允许验证信息)、Allow-Control-Expose-Headers(是否允许脚本访问头)----XMLHttpRequest问题解决。参考本博客第一篇文章。

三、问题:

如果origin哪个头设置为*则只能依靠最后一层安全机制了:

Allow-Control-Allow-Credentials这个字段,XMLHttpRequest访问时跨域的,又带着cookie,这是不合法的,如果这个限制也没有了,基本上形同裸奔了。

###HTML5中会有进一步安全影响。

 

转载于:https://www.cnblogs.com/KevinGeorge/p/8295919.html

weixin_30528371
关注
【漏洞挖掘】——37、CORS攻防原理
Fly_鹏程万里
06-06 43
CORS(Cross-Origin Resource Sharing)即跨源资源共享CORS是W3C出的一个标准,其思想是使用自定义的HTTP头部让浏览器与服务器进行沟通,因为开发者需要通过跨域获取资源。
你可能不知道的CORS跨域资源共享
10-17
主要给大家介绍了关于CORS跨域资源共享的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者使用CORS具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
cors安全完全指南
一个码农的笔记
09-15 5306
这篇文章翻译自:https://www.bedefended.com/papers/cors-security-guide 作者:Davide Danelon 译者:聂心明 译者博客:https://blog.csdn.net/niexinming 版本:1.0 - 2018年-七月 1. _介绍 这个指南收集关于cors所有的安全知识,从基本的到高级的,从攻击到防御 ...
CORS跨域访问漏洞
最新发布
YhMjQx的博客
08-20 1608
本篇文章主要讲解CSRF漏洞的原理,并复现漏洞和利用
「 典型安全漏洞系列 」10.跨域资源共享CORS漏洞详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-06 2038
跨域资源共享(Cross-origin Resource Sharing,CORS)是一种浏览器机制,可以对于给定域之外的资源进行受控访问。它扩展并增加了同源政策(Same-origin Policy,SOP)的灵活性。然而,如果网站的CORS策略配置和实施不当,它也可能引发跨域攻击。为了更好的理解CORS漏洞,在介绍CORS漏洞之前,我们先了解下什么是同源策略(SOP)。
不同版本浏览器前端标准兼容性对照表以及CORS解决跨域和CSRF安全问题解决方案.docx
10-26
例如,CORS(Cross-Origin Resource Sharing,跨源资源共享)是一种广泛用于解决跨域问题的机制,但在早期版本的浏览器中,如IE8和IE9,它可能通过XDomainRequest对象实现,但存在一定的限制。开发者可以借助像CanI...
安全知识 补天&斗鱼-跨域资源那些事 - macos.zip
11-06
根据提供的文件名“补天&斗鱼-跨域资源那些事.pdf”,我们可以预期文档将详细讨论跨域资源共享CORS)与网络安全的关系,可能包含以下知识点: 1. **CORS原理**:解释CORS的工作机制,包括预检请求(OPTIONS)、...
javascript-REST
03-30
4. CORS 跨域资源共享 - 当JavaScript从一个域名发起请求到另一个域名时,会受到浏览器同源策略的限制。CORS是解决这个问题的一种机制,服务器通过设置特定的HTTP头,允许跨域请求。 5. 安全性考虑 - CSRF(Cross...
ddcas_enhancer
02-08
6. **跨域资源共享(CORS)**:CORS是浏览器的一种安全策略,用于限制JavaScript发起的跨域请求。了解CORS的工作原理和配置,有助于在不影响正常服务的情况下,阻止非法的跨域请求。 7. **JSON Web Tokens (JWT)**:...
生命在于学习——Cors漏洞
易水哲的博客
09-05 2483
Cors漏洞的学习笔记记录。
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2284
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
CORS-跨域资源共享
Ciao's blog
11-12 548
项目搭建初期常见的跨域问题
CORS跨域资源共享
letterTiger的博客
04-06 535
CORS跨域资源共享)使用额外的HTTP头部来告诉浏览器,允许运行在origin(domain)上的Web应用访问来自不同源服务器上的指定资源。 浏览器访问一个web应用,这个web应用会发很多的跨域请求,例如加载不同源的JS/CSS脚本,或者加载不同源图片等。但是并没有发现请求的异常,这些资源是可以正常返回的。而通过JS发送的跨域HTTP请求却时常得到错误,所以跨域请求很常见,但是浏览器对于请...
Springboot后端CORS跨域资源共享
comecny的博客
08-16 637
跨域
CORS(跨站资源共享)介绍
测试
12-03 538
起因 有同学在nginx站点配置中加了一行Access-Control-Allow-Origin *,导致微信中业务数据异常,抓包看http头有两个Access-Control-Allow-Origin字段,一个是站点自己的域名,一个是*。 为了实现跨域资源访问,在代码和nginx配置中都加了Access-Control-Allow-Origin字段,但是浏览器有个原则,如果有两个Acc...
CSRF 跨站请求伪造及CORS跨域资源共享漏洞修复案例
Endeavour的博客
06-12 6945
跨站请求伪造(CSRF):是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 漏洞原理:用户C访问正常网站A时进行登录,浏览器保存A的cookie;用户C再访问攻击网站B,网站B上有某个隐藏的链接或者图片标签会自动请求网站A的URL地址,例如表单提交,传指定的参数...
CORS跨域资源共享
多喝i热水的博客
09-07 356
目录 一、同源策略 二、跨域的判定 三、配置服务器实现跨域传输 四、CORS跨域漏洞验证 五、参考文献 一、同源策略 同源指的是域名(或IP),协议,端口都相同,不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。 同源的判定 以http://www.example.com/dir/page.html为例,以下表格指出了不同形式的链接是否与其同源 链接 结果 原因 http://www.example.com/..
针对跨域漏洞提出对应的修复和防御策略
06-12
2. 设置跨域资源共享CORS):CORS是一种机制,它允许在浏览器上运行的Web应用程序访问另一个域上的资源。使用CORS可以在服务器端设置允许哪些域名访问资源。 3. 使用代理服务器:代理服务器可以在服务器端进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值