跨域资源共享(CORS)安全性浅析

最新推荐文章于 2023-06-13 20:27:40 发布
最新推荐文章于 2023-06-13 20:27:40 发布
阅读量166 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/zyt1978/blog/643675
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

提起浏览器的同源策略,大家都很熟悉。不同域的客户端脚本不能读写对方的资源。但是实践中有一些场景需要跨域的读写,所以出现了一些hack的方式来跨域。但这些方式都存在缺陷,无法完美的实现跨域读写。所以在XMLHttpRequest v2标准下,提出了CORS(Cross Origin Resourse-Sharing)的模型,试图提供安全方便的跨域读写资源。

 

 

一、背景

提起浏览器的同源策略,大家都很熟悉。不同域的客户端脚本不能读写对方的资源。但是实践中有一些场景需要跨域的读写,所以出现了一些hack的方式来跨域。比如在同域内做一个代理,JSON-P等。但这些方式都存在缺陷,无法完美的实现跨域读写。所以在XMLHttpRequest v2标准下,提出了CORS(Cross Origin Resourse-Sharing)的模型,试图提供安全方便的跨域读写资源。目前主流浏览器均支持CORS。

二、技术原理

CORS定义了两种跨域请求,简单跨域请求和非简单跨域请求。当一个跨域请求发送简单跨域请求包括:请求方法为HEAD,GET,POST;请求头只有4个字段,Accept,Accept-Language,Content-Language,Last-Event-ID;如果设置了Content-Type,则其值只能是application/x-www-form-urlencoded,multipart/form-data,text/plain。说起来比较别扭,简单的意思就是设置了一个白名单,符合这个条件的才是简单请求。其他不符合的都是非简单请求。 

之所以有这个分类是因为浏览器对简单请求和非简单请求的处理机制是不一样的。当我们需要发送一个跨域请求的时候,浏览器会首先检查这个请求,如果它符合上面所述的简单跨域请求,浏览器就会立刻发送这个请求。如果浏览器检查之后发现这是一个非简单请求,比如请求头含有X-Forwarded-For字段。这时候浏览器不会马上发送这个请求,而是有一个preflight,跟服务器验证的过程。浏览器先发送一个options方法的预检请求。下图是一个示例。如果预检通过,则发送这个请求,否则就不拒绝发送这个跨域请求。

转载于:https://my.oschina.net/zyt1978/blog/643675

weixin_33893473
关注
跨域资源共享CORS
xiamocsdn的博客
10-26 548
浏览器处于安全考虑,请求资源时将基于同源策略进行限制。而我们在实际开发中的大多数请求,都是跨域的。那么什么是同源策略?什么是跨域?我们要如何解决跨域的问题呢? W3C为克服资源只能同源使用的限制,制定了CORS标准,即为“跨域资源共享”。 一、什么是同源策略 同源策略是由Netscape提出的一种浏览器安全策略,它保证了在没有明确授权的前提下,限制不同源之间的数据交换。所谓同源,指的是协议名、域名、端口号完全相同的源;有一个不同即为跨域。 二、CORS简介 CORS,即跨域资源共享,需要浏览器和服务器同时支
跨域资源共享CORS的那些事(一)
绯浅yousa的笔记
09-10 855
跨域资源共享CORS的那些事(一) 最近在为高性能开源API网关apisix写跨域插件,发现该功能对协议要求要比较熟悉,借此机会重新复习下跨域协议,以及简要写下跨域功能的设计 什么是跨域? 同源政策 在讲跨域之前,反过来想,什么时候是不跨域,也就是所谓的什么是同源? 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A网页设置的 C...
【41】WEB安全学习----CORS跨域安全
尚未佩妥剑 转眼便江湖
10-26 512
CORS CORS需要浏览器和服务器同时支持,目前,IE浏览器不能低于IE10。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。 因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。浏览器将CORS请求分成两类: 简单请求:发出COR...
跨域资源共享(CORS)安全性浅析[内有提及OPTIONS请求发起的条件]
likaiwalkman@csdn - Code Study Area
08-26 3927
一、背景   提起浏览器的同源策略,大家都很熟悉。不同域的客户端脚本不能读写对方的资源。但是实践中有一些场景需要跨域的读写,所以出现了一些hack的方式来跨域。比如在同域内做一个代理,JSON-P等。但这些方式都存在缺陷,无法完美的实现跨域读写。所以在XMLHttpRequest v2标准下,提出了CORS(Cross Origin Resourse-Sharing)的模型,试图提供安全
cors java 安全问题_Java利用cors实现跨域请求
weixin_42302384的博客
12-24 161
由于ajax本身实际上是通过XMLHttpRequest对象来进行数据的交互,而浏览器出于安全考虑,不允许js代码进行跨域操作,所以会警告网站开发,在某些情况下需要用到跨域。什么是跨域跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。ajax本身实际上是通过XMLHttpRequest对象来进行数据的交互,而浏览器出于安全考虑,...
浅析jsopn跨域请求原理及cors跨域资源共享)的完美解决方法
12-07
针对这一问题,有几种常见的解决方法,其中最常用的是JSONP(JSON with Padding)和CORS(Cross-Origin Resource Sharing,跨域资源共享)。 **JSONP的原理与实现** JSONP的工作机制是利用`<script>`标签不受同源...
浅析php中jsonp的跨域实例
10-27
总结来说,JSONP技术提供了一种简单且有效的跨域数据交互手段,尤其适用于那些老版本的浏览器或者那些不支持CORS(Cross-Origin Resource Sharing,跨域资源共享)的环境中。然而,随着CORS的日益完善和Web API的...
深入浅析Jsonp解决ajax跨域问题
10-22
3. **JSONP与CORS(跨源资源共享)**:CORS是另一种解决跨域问题的方式,它通过在服务器响应中添加特定的HTTP头来允许跨域请求。CORS更为强大和灵活,可以控制哪些源可以访问资源、哪些方法可以被使用、是否可以携带...
浅析CORS攻击及其挖洞思路
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
11-30 1602
0x1 CORS机制   CORS全名跨域资源共享(Cross-Origin-Resourece-sharing),该机制主要是解决浏览器同源策略所带来的不便,使不同域的应用能够无视同源策略,进行信息传递。 引用一张图能很好地说明CORS机制的作用 0x2 CORS机制实现 那么这个机制是怎么发挥作用的呢? CORS的标准定义是:通过设置http头部字段,让客户端有资格跨域访问资源。通过服务器的验证和授权之后,浏览器有责任支持这些http头部字段并且确保能够正确的施加限制。 为了更好理解
cors安全完全指南
一个码农的笔记
09-15 5283
这篇文章翻译自:https://www.bedefended.com/papers/cors-security-guide 作者:Davide Danelon 译者:聂心明 译者博客:https://blog.csdn.net/niexinming 版本:1.0 - 2018年-七月 1. _介绍 这个指南收集关于cors所有的安全知识,从基本的到高级的,从攻击到防御 ...
出于安全考虑,千万不要绕开 CORS
CSDN资讯
08-06 3470
Mac Zoom 漏洞的曝出将 CORS(跨源资源分享,Cross Origin Resource Sharing)拉入了大众视野,但是坦白地讲,“不了解 CORS 的 Web 开发人员实在太多了”——无论是新手还是经验丰富的开发人员。 那么是因为 CORS API 过于复杂和混乱?还是说开发者需要围绕 CORS 和 CSP 等问题对开发人员展开更好的教育?......无论是何种情况,这都不...
安全系列之:跨域资源共享CORS
程序那些事
09-13 1万+
文章目录简介CORS举例CORS protocolHTTP request headersHTTP response headers基本CORSPreflighted requests带认证的请求总结 简介 什么是跨域资源共享呢? 我们知道一个域是由scheme、domain和port三部分来组成的,这三个部分可以唯一标记一个域,或者一个服务器请求的地址。跨域资源共享的意思就是服务器允许其他的域来访问它自己域的资源。 CORS是一个基于HTTP-header检测的机制,本文将会详细对其进行说明。 CORS
CORS跨域漏洞的学习
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
07-27 8370
学习CORS的漏洞和相关的一些知识梳理,网站如果存在这个漏洞就会有用户敏感数据被窃取的风险。 0x00 从浏览器的同源策略说起 SOP,同源策略 (Same Origin Policy),该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。 (图片来自网络) ...
解决cors跨域的问题
asuyunlong的专栏
12-08 617
1.过滤器代码如下: package com.mvc.imp; import java.io.IOException; import java.util.Arrays; import java.util.List; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.Filter
ajax中的withCredentials使用效果
热门推荐
江木
05-16 4万+
XMLHttpRequest.withCredentials 有什么用? 跨域请求是否提供凭据信息(cookie、HTTP认证及客户端SSL证明等) 也可以简单的理解为,当前请求为跨域类型时是否在请求中协带cookie。 XMLHttpRequest.withCredentials 怎么用? withCredentials属于XMLHttpRequest对象下的属性,可以对其进行查看或配置。 ...
withCredentials 属性
weixin_33725270的博客
08-03 1592
什么是 credentials credentials,即用户凭证,是指 cookie、HTTP身份验证和TLS客户端证书。需要注意的是,它不涉及代理身份验证或源标头。 XMLHttpRequest 的 withCredentials 属性 默认值为false。在获取同域资源时设置 withCredentials 没有影响。 true:...
cookie的 samesite和xHr 的withCredentials的作用
最新发布
weixin_42498482的博客
06-13 1359
关于cookie的 samesite和xHr 的withCredentials的作用
跨域资源共享(CORS)实战
"CORS in Action" 由 Monsur Hossain 撰写,由 Eric Bidelman 前言,是一本关于创建和消费跨域API的专业书籍,主要聚焦于CORS(跨源资源共享)技术。 CORS是Web开发中的一个重要概念,它允许浏览器在遵循特定安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值