84669 人學習
152542 人學習
20005 人學習
5487 人學習
7821 人學習
359900 人學習
3350 人學習
180660 人學習
48569 人學習
18603 人學習
40936 人學習
1549 人學習
1183 人學習
32909 人學習
面試的時候被問到CORS安全性問題,沒答上來,想請教下大家。CORS在伺服器端設定了Access-Control-Allow-Origin,不設定為*,不是只有指定的域才能發起請求嗎,否則就被瀏覽器攔截了呀,有看到說http頭可以偽造,但手動設定Origin也會被瀏覽器阻止,請問CORS的漏洞到底在哪裡?有什麼解決方案?謝謝
https://developer.mozilla.org...瀏覽器相容性
我反而覺得CORS相交於JSONP是較安全的跨域方式,也是標準的跨域方式。
Access-Control-Allow-Origin就是一個允許請求的域白名單,只有是這個域裡有的,伺服器才會統一跨域請求,如果合理的設定白名單,反而可以避免CSRF攻擊。
我覺得這個問題可能是要求你從如果Access-Control-Allow-Origin為*所面臨的問題來考慮。
設定成*的一般是公共的API,為了避免被頻繁請求或DDOS,一般會多出密鑰驗證的步驟,並且限制請求頻率和次數。
還有就是CORS雖然預設不傳Cookie,但Access-Control-Allow-Credentials設為true就能允許,這樣也可能會有CSRF攻擊的風險。
https://developer.mozilla.org...瀏覽器相容性
我反而覺得CORS相交於JSONP是較安全的跨域方式,也是標準的跨域方式。
Access-Control-Allow-Origin就是一個允許請求的域白名單,只有是這個域裡有的,伺服器才會統一跨域請求,如果合理的設定白名單,反而可以避免CSRF攻擊。
我覺得這個問題可能是要求你從如果Access-Control-Allow-Origin為*所面臨的問題來考慮。
設定成*的一般是公共的API,為了避免被頻繁請求或DDOS,一般會多出密鑰驗證的步驟,並且限制請求頻率和次數。
還有就是CORS雖然預設不傳Cookie,但Access-Control-Allow-Credentials設為true就能允許,這樣也可能會有CSRF攻擊的風險。