javascript - 請教CORS安全性的問題
给我你的怀抱
给我你的怀抱 2017-05-19 10:42:05
0
2
793

面試的時候被問到CORS安全性問題,沒答上來,想請教下大家。
CORS在伺服器端設定了Access-Control-Allow-Origin,不設定為*,不是只有指定的域才能發起請求嗎,否則就被瀏覽器攔截了呀,有看到說http頭可以偽造,但手動設定Origin也會被瀏覽器阻止,請問CORS的漏洞到底在哪裡?有什麼解決方案?謝謝

给我你的怀抱
给我你的怀抱

全部回覆 (2)
巴扎黑

https://developer.mozilla.org...瀏覽器相容性

    小葫芦

    我反而覺得CORS相交於JSONP是較安全的跨域方式,也是標準的跨域方式。

    Access-Control-Allow-Origin就是一個允許請求的域白名單,只有是這個域裡有的,伺服器才會統一跨域請求,如果合理的設定白名單,反而可以避免CSRF攻擊。

    我覺得這個問題可能是要求你從如果Access-Control-Allow-Origin為*所面臨的問題來考慮。

    設定成*的一般是公共的API,為了避免被頻繁請求或DDOS,一般會多出密鑰驗證的步驟,並且限制請求頻率和次數。

    還有就是CORS雖然預設不傳Cookie,但Access-Control-Allow-Credentials設為true就能允許,這樣也可能會有CSRF攻擊的風險。

      最新下載
      更多>
      網站特效
      網站源碼
      網站素材
      前端模板
      關於我們 免責聲明 Sitemap
      PHP中文網:公益線上PHP培訓,幫助PHP學習者快速成長!