俄羅斯:將審查iPhone等外國公司設備 保數據安全
iPhone和特斯拉都屬于在各自領域領頭羊的品牌,推出的產品也也都是數一數二的,但對于一些國家而言,它們的產品可靠性和安全性還是在限制范圍內。近日,俄羅斯聯邦通信、信息技術
隨著前后端分離架構的逐漸普及,CORS跨域技術被廣泛應用在Web應用中,以便不同域之間資源的互相訪問。
CORS的全稱是跨域資源共享(Cross-Origin Resource Sharing),允許瀏覽器向跨域服務器發(fā)起XMLHttpRequest請求。主要機制分為兩種調用流程:
瀏覽器直接發(fā)出實際請求,無需預檢。簡單請求滿足以下條件:
如果滿足這兩個條件,瀏覽器會自動在請求頭中添加 Origin 字段,發(fā)起簡單請求,服務器根據 Origin 劃定的來源域,決定是否給予響應。
如果不滿足簡單請求的條件,瀏覽器會自動發(fā)起預檢請求(OPTIONS 請求),詢問服務器請求是否被允許。如:
CORS 的機制有一定復雜性,也會有藏著一些安全風險。主要包括:
如果服務器端CORS配置錯誤,可能會使得本不應該訪問的惡意網站得到數據訪問權限。這屬于典型的CORS誤配置問題。
攻擊者可利用CORS實現CSRF攻擊。例如惡意網站利用CORS請求接口獲取用戶數據或執(zhí)行增刪改操作。這屬于利用CORS實現CSRF攻擊的風險。
攻擊者可以利用CORS的一些特性獲取敏感信息。例如根據CORS頭部判斷網站架構,根據錯誤信息判斷后臺技術棧等。
攻擊者可在客戶端通過JS劫持CORS報文,改變請求參數、添加非法頭部甚至修改響應內容。這屬于CORS請求被劫持的風險。
惡意網站可向有緩存的CORS接口大量發(fā)送預檢請求,導致瀏覽器緩存被其預檢選項所污染,進而影響其他正常CORS請求。
防范CORS風險的關鍵在于從源頭加強接口訪問控制,嚴格限制允許跨域請求的來源,具體策略包括:
CORS作為一個具有明確邊界訪問控制的跨域解決方案,應嚴格限制在業(yè)務必需的場景中使用。在啟用CORS的基礎上,采取必要的安全防護措施,以降低相關風險。
本文鏈接:http://www.tebozhan.com/showinfo-26-50756-0.htmlCORS 跨域工作機制與安全防范
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
Copyright ? 2016-2023 天津谷騏科技有限公司 版權所有 sitemap.xml
違法及侵權請聯系:2376512515@qq.com 津ICP備18001702號
津公網安備 12010102000574號