我剛剛瞭解到CORS,基本上是因爲直到現在我才需要它。關於CORS的安全問題
我讀過,CORS允許跨站點起源,用AJAX調用發送HTTP頭,因此其他服務器可以評估該請求從批准場地的到來。
現在我主要關心的是,不能HTTP頭被欺騙?例如,攻擊者不能將請求捲曲到其他服務器,發送我的CORS請求所用的確切HTTP頭文件? 在這種情況下,服務器將接受請求,並且攻擊者將檢索服務器將發送給他的任何敏感數據。
我們都知道它是多麼容易檢索頁面的JavaScript,所以一切我CORS發送可以通過easilly敏銳的目光看到。包含HTTP標頭。
所以,我想敏感信息不應該包含CORS通信內共享... 還是我得到這個一切錯了嗎? 請擺脫一些光! :) 謝謝
是的,我說的是飛行前OPTIONS請求。總之,根據您的回答,馬洛裏並不需要知道安全證書(如餅乾,會議等)做出CORS請求鮑勃? 至於當然CORS的捲曲無所謂,我只是給一個例子,如何任何人都可以很容易地「模仿」一個CORS請求。 –
所有OPTIONS請求都會告訴Mallory在請求中可以使用哪些頭文件。這個信息沒有用(在CORS的上下文中),因爲cURL並沒有首先實現同源策略,所以如果包括「錯誤的」頭文件,沒有任何東西可以阻止後續的請求被髮送在上面。 – Quentin
好的,謝謝!根據您的答案和我想做的事情,我可以實現我有什麼想法,無任何安全隱患,並且沒有攻擊者模仿CORS行爲的風險。如果我需要更多關於這個問題的解釋,我會告訴你。再次感謝! –