跨源资源共享(CORS)

最新推荐文章于 2024-06-19 18:11:50 发布
最新推荐文章于 2024-06-19 18:11:50 发布
阅读量761 收藏 11
点赞数 13
分类专栏: HTTP安全 文章标签: CORS 网络安全 web安全 安全 HTML HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42451330/article/details/139731363
版权

一、跨源资源共享(CORS)介绍

        跨源资源共享(Cross-Origin Resource Sharing,CORS)是一种web标准技术,它允许一个网站的服务器来响应其他网站的请求,从而打破了同源策略的限制。通过CORS,浏览器可以接收到服务器的响应,并查看该响应头部的"Access-Control-Allow-Origin"字段,如果该字段的值允许,或者是"*"(表示接受所有域),浏览器才会处理响应。通过CORS策略网站可以分享其资源,而不必担忧安全问题。

二、受到同源策略影响的一些操作

        AJAX请求:同源策略会阻止使用XMLHttpRequest或Fetch API发起的跨域请求。

        DOM访问:来自不同源的网站不能访问彼此的DOM。

        Cookie,LocalStorage和IndexedDB:JavaScript不能读取到其他网站的数据。

        但请注意,同源策略并非所有Web行为都有影响。例如,<img>元素、<script>元素和<link>元素等可以加载任何网站的资源,这是因为这些操作并不会访问到其他源的文档或脚本。

三、简单请求示例

        某些请求不会触发 CORS 预检请求。如:

        1、GET、HEAD、POST方法

        2、除了被用户代理自动设置的标头字段

        3、Content-Type 标头所指定的媒体类型的值仅限于下列三者之一:(text/plain、multipart/form-data、application/x-www-form-urlencoded)

        4、请求中没有使用 ReadableStream 对象

        假如站点 https://foo.example 的网页应用想要访问 https://bar.other 的资源。foo.example 的网页中可能包含类似于下面的 JavaScript 代码:

const xhr = new XMLHttpRequest();
const url = "https://bar.other/resources/public-data/";
xhr.open("GET", url);
xhr.onreadystatechange = someHandler;
xhr.send();

        浏览器发送给服务器的请求报文:

Copy to Clipboard
GET /resources/public-data/ HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
Origin: https://foo.example

        服务器响应:

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 00:23:53 GMT
Server: Apache/2
Access-Control-Allow-Origin: *
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: application/xml

[…XML Data…]

四、预检请求示例

  1、执行预检请求的 HTTP 请求:

const xhr = new XMLHttpRequest();
xhr.open("POST", "https://bar.other/resources/post-here/");
xhr.setRequestHeader("X-PINGOTHER", "pingpong");
xhr.setRequestHeader("Content-Type", "application/xml");
xhr.onreadystatechange = handler;
xhr.send("<person><name>Arun</name></person>");

2、首次交互是预检请求/响应:

OPTIONS /doc HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
Origin: https://foo.example
Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-PINGOTHER, Content-Type
HTTP/1.1 204 No Content
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2
Access-Control-Allow-Origin: https://foo.example
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
Access-Control-Max-Age: 86400  //24 小时
Vary: Accept-Encoding, Origin
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive

3、预检请求完成之后,发送实际请求/响应:

POST /doc HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
X-PINGOTHER: pingpong
Content-Type: text/xml; charset=UTF-8
Referer: https://foo.example/examples/preflightInvocation.html
Content-Length: 55
Origin: https://foo.example
Pragma: no-cache
Cache-Control: no-cache

<person><name>Arun</name></person>
HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:40 GMT
Server: Apache/2
Access-Control-Allow-Origin: https://foo.example
Vary: Accept-Encoding, Origin
Content-Encoding: gzip
Content-Length: 235
Keep-Alive: timeout=2, max=99
Connection: Keep-Alive
Content-Type: text/plain

[Some XML payload]

五、涉及的HTTP 响应标头字段

1、允许浏览器访问的资源 

Access-Control-Allow-Origin: https://mozilla.org

2、getResponseHeader() 方法只能拿到一些最基本的响应头,使用下面的相应标头可以使浏览器获取其他响应头。

Access-Control-Expose-Headers: X-My-Custom-Header, X-Another-Custom-Header

3、指定了 preflight 请求的结果能够被缓存多久

Access-Control-Max-Age: <delta-seconds>

4、当浏览器的 credentials 设置为 true 时是否允许浏览器读取 response 的内容

Access-Control-Allow-Credentials: true

5、指定访问资源时允许的请求方法

Access-Control-Allow-Methods: <method>

6、指用于预检请求的响应。其指明了实际请求中允许携带的标头字段。

Access-Control-Allow-Headers: <header-name>

六、涉及的HTTP 请求标头字段

1、表明预检请求或实际跨源请求的源站。

Origin: <origin>

2、标头字段用于预检请求。将实际请求所使用的 HTTP 方法告诉服务器。

Access-Control-Request-Method: <method>

3、标头字段用于预检请求。将实际请求所携带的标头字段(通过 setRequestHeader() 等设置的)告诉服务器.

Access-Control-Request-Headers: <field-name>

七、简单跨站脚本攻击示例

1、假定存在一个网站 https://vulnerable-website.com,它允许来自任何源的 CORS 请求,也就是说它的服务器对任何请求都返回Access-Control-Allow-Origin: *响应头。

2、攻击者创建了一个恶意网站 https://evil.com,这个网站上有一段 JavaScript 代码,当受害者访问时,该代码会发送一个AJAX请求到 https://vulnerable-website.com。

3、如果受害者在访问恶意网站的同时,还保持着对https://vulnerable-website.com的登录状态,那么这个 AJAX 请求就会带上受害者对https://vulnerable-website.com的 cookies。

4、由于 https://vulnerable-website.com 允许来自任何源的请求,服务器就会处理这个带有受害者 cookies 的请求,并返回相应的数据。

5、恶意网站 https://evil.com 收到了这个响应,并可以通过 JavaScript 代码来读取响应数据,从而获取了受害者在 https://vulnerable-website.com 上的敏感数据。

战斗爽!战斗爽!战斗爽!战斗爽!战斗爽!
关注
  • 13
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CORS跨域资源共享漏洞
m0_55772907的博客
10-19 9123
cors漏洞
Spring 设置跨源资源共享(CORS)
谈谈1974
03-27 1575
文章目录背景1. Spring 解决方式:设置 CORS2. CORS 的前世今生2.1 CSRF 跨站请求伪造漏洞2.2 浏览器同源策略的产生2.3 跨源资源共享 CORS 的实现2.3.1 简单请求2.3.2 预检请求 背景 新起的项目需要前后端对接,联调时前端在浏览器窗口请求后端接口出现异常,浏览器控制台报出以下信息。由于当前主流的前后端分离架构,前端项目和后端项目通常不在同一个站点,所以在浏览器上很容易出现这个问题 has been blocked by CORS policy: No 'Acc
cors 跨源资源共享
thinker
11-23 296
跨源资源共享(CORS) (或通俗地译为跨域资源共享)是一种机制,该机制使用附加的HTTP头来告诉浏览器,准许运行在一个源上的Web应用访问位于另一不同源选定的资源。当一个Web应用发起一个与自身所在源(域,协议和端口)不同的HTTP请求时,它发起的即跨源HTTP请求。 跨源HTTP请求的一个例子:运行在 http://domain-a.com的JavaScript代码使用XMLHttpRequest来发起一个到https://domain-b.com/data.json 的请求。 出于安全...
跨源资源共享CORS
weixin_43177627的博客
05-15 297
学习目标: 了解CORS 学习内容: 跨源资源共享 (CORS)(或通俗地译为跨域资源共享)是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它 origin(域,协议和端口),使得浏览器允许这些 origin 访问加载自己的资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求。在预检中,浏览器发送的头中标示有HTTP方法和真实请求中会用到的头。 跨源HTTP请求的一个例子:运行在 https://do
什么是CORS跨源资源共享)?如何解决前端中的CORS问题?
热门推荐
官方推荐
09-18 2万+
什么是CORS跨源资源共享)?如何解决前端中的CORS问题?
Amazon 亚马逊 AWS S3 跨源资源共享CORS)设置
秋̶᭄ꦿ攻城狮࿆ྂ
08-03 3100
Amazon 亚马逊 AWS S3 跨源资源共享CORS)设置跨源资源共享:使用案例场景方案 1方案 2AllowedMethod 元素AllowedOrigin 元素AllowedHeader 元素ExposeHeader 元素MaxAgeSeconds 元素Amazon S3 如何评估针对存储桶的 CORS 配置? 跨源资源共享 (CORS) 定义了在一个域中加载的客户端 Web 应用程序与另一个域中的资源交互的方式。利用 CORS 支持,您可以使用 Amazon S3 构建丰富的客户端 Web
CORS跨源资源共享
qq_37309764的博客
03-28 108
Access-Control-Allow-Origin:与简单的请求相同。 Access-Control-Allow-Methods:允许的方法,多个方法以逗号分隔。 Access-Control-Allow-Headers:允许的头部,多个头部以逗号分隔。 Access-Control-Max-Age:应该将这个 Preflight 请求缓存多长时间(以秒...
跨域资源共享CORS漏洞
LuckySec
08-22 1万+
0x01 漏洞简介 跨域资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制,以使不同的网站可以跨域获取数据,目前已经被绝大多数浏览器支持,并被主流网站广泛部署使用。跨域资源共享 CORS 漏洞主要是由于程序员配置不当,对于 Origin 源校验不严格,从而造成跨域问题,攻击者可以利用 CORS 错误配置漏洞,从恶意网站跨域读取受害网站的敏感信息。 这里只做简单介绍,关于 CORS 漏洞的详细分析可以点击
HTTP完全注解】又跨域了?一文解释清楚跨源资源共享cors
汪啊汪
03-13 1404
wangjunliang.com需要请求访问wangawang.com的内容,由于同源机制的存在, XMLHttpRequest(XHR)或 Fetch API是不允许发起跨域的请求的,当然我们可以通过代理或Jsonp的方式来解决,但每次搭建代理过于麻烦并且维护成本很大,而Jsonp呢?的资源,并发起的是简单请求,此时请求只要满足了服务端相关CORS的响应标头配置,请求则能正常访问资源,以下为客户端与服务器端交互示例。(预检请求)的响应的缓存时间,对于简单的跨源请求的缓存策略通常由HTTP缓存头部(如。
Python-TheftFuzzer是一种工具可以模拟跨源资源共享CORS实现中常见的错误配置
08-10
TheftFuzzer是一种工具,可以模拟跨源资源共享CORS实现中常见的错误配置
跨域资源共享 CORS 详解
09-02
所有浏览器都支持该功能IE浏览器不能低于IE10...对于开发者来说CORS通信与同源的AJAX通信没有差别代码完全一样浏览器一旦发现AJAX请求跨源就会自动添加一些附加的头信息有时还会多出一次附加的请求,但用户不会有感觉。
flask-cors:跨源资源共享CORS)对Flask的支持
04-28
烧瓶CORS Flask扩展,用于处理跨源资源共享CORS),使得跨源AJAX成为可能。 这个软件包有一个简单的理念:当您想要启用CORS时,您希望针对域中的所有用例启用它。 这意味着不会混用不同的允许的标头,方法等。 ...
play-cors:对 Play 的跨源资源共享 (CORS) 支持
06-26
对 Play 的跨源资源共享 (CORS) 支持 实现跨源资源共享 (CORS) 的可配置过滤器和操作构建器。 请参阅完整的。 请参阅。 设置 play-cors 是为 Play 2.3.x 以及 Scala 2.10.x 和 2.11.x 构建的。 Bintray 提供了二...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8295
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全攻防基础入门笔记--操作系统&名词解释&文件下载&反弹shell&防火墙绕过
谜语人的博客
06-15 1109
全程Proof of Concept,中文"概念验证",常指一段漏洞证明的代码。
网络安全(补充)
m0_62207482的博客
06-15 581
物理安全威胁一般分为自然安全威胁和人为安全威胁。自然安全威胁包括地震、洪水、火灾、鼠害、雷电;;;;人为安全威胁包括盗窃、爆炸、毁坏、硬件安全 防火墙白名单策略:只允许符合安全规则的包通过防火墙,其他通信包禁止 防火墙名单策略:禁止与安全规则相冲突的包通过防火墙,其他通信包都允许 将入侵检测系统置于防火墙内部,使得很多对网络的攻击首先被防火墙过滤,也就是防火墙是首当其冲的,从而减少了对内部入侵检测系统的干扰,提高入侵检测系统的准确率,但是其检测能力不会变化 通过VPN技术,企业可以在远程用户、分
深信服科技:2023网络安全深度洞察及2024年趋势研判报告
最新发布
2301_76786857的博客
06-19 190
2023 年,生成式人工智能和各种大模型迅速应用在网络攻击与对抗中,带来了新型攻防场景和安全威胁。漏洞利用链组合攻击实现攻击效果加成,在国家级对抗中频繁使用。勒索团伙广泛利用多个信创系统漏洞,对企业数据安全与财产安全造成了严重威胁。数据泄露问题频频出现,个人信息泄露成为了关注的焦点;同时,境外网络攻击势力不断刺探,APT 攻击技术不断更新。 2023年网络安全呈现出哪些演变趋势?本报告将重点围绕安全漏洞、恶意软件、数据安全和 APT攻击四个领域展开观察,并对 2024 年网络安全需重点关注的方向进行深入思考
CORS(跨站资源共享)原始验证失败
12-22
CORS(跨站资源共享)是一种用于在浏览器中进行跨域请求的机制。当浏览器发起跨域请求时,会先发送一个预检请求(OPTIONS请求)来验证服务器是否允许该跨域请求。如果预检请求的验证失败,就会出现CORS原始验证失败的情况。 CORS原始验证失败可能有以下几种原因: 1. 服务器未正确设置Access-Control-Allow-Origin响应头:对于附带身份凭证的请求,服务器不得设置Access-Control-Allow-Origin的值为“*”,而应该设置为请求源的具体值或允许的域名列表。 2. 服务器未正确设置Access-Control-Allow-Methods响应头:该响应头用于指定服务器支持的请求方法。如果服务器不支持预检请求中指定的请求方法,就会导致CORS原始验证失败。 3. 服务器未正确设置Access-Control-Allow-Headers响应头:该响应头用于指定服务器支持的请求头。如果服务器不支持预检请求中指定的请求头,就会导致CORS原始验证失败。 4. 服务器未正确设置Access-Control-Allow-Credentials响应头:如果请求附带了身份凭证(如cookie、HTTP认证等),服务器需要设置该响应头为true,表示允许跨域请求携带身份凭证。 5. 请求中的Content-Type不符合预检请求中的Content-Type:如果预检请求中指定了Content-Type,那么实际请求的Content-Type必须与之一致,否则会导致CORS原始验证失败。 如果出现CORS原始验证失败,你可以通过以下步骤来解决问题: 1. 检查服务器的响应头是否正确设置了Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers和Access-Control-Allow-Credentials。 2. 检查请求中的Content-Type是否与预检请求中的Content-Type一致。 3. 检查是否有其他安全机制(如防火墙、代理等)阻止了跨域请求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值