- r - 以节省内存的方式增长 data.frame
- ruby-on-rails - ruby/ruby on rails 内存泄漏检测
- android - 无法解析导入android.support.v7.app
- UNIX 域套接字与共享内存(映射文件)
据说不是将所有域都添加到CORS , 应该只添加一组域。然而,有时添加一组域并非易事。例如。如果我想公开一个 API,那么对于每个想要调用该 API 的域,我都需要联系我将该域添加到允许的域列表中。
我想在安全隐患和减少工作之间做出有意识的权衡决定。
我看到的唯一安全问题是 DoS attacks和 CSRF攻击。CSRF 攻击已经可以通过 IMG 元素和 FORM 元素来实现。可以通过阻止引用 header 上的请求来克服与 CORS 相关的 DoS 攻击。
我是否遗漏了安全隐患?
===编辑===
Access-Control-Allow-Credentials
header 最佳答案
跨站点请求伪造攻击无疑是 Access-Control-Allow-Origin 解决的主要问题。
Ryan 关于内容检索当然是正确的。但是,关于提出请求的主题,这里还有更多要说的。许多网站现在提供 RESTful Web 服务,这些服务公开了可能涉及在后端进行重大更改的各种功能。通常,这些 RESTful 服务旨在使用 XHR(例如 AJAX)请求(可能使用“Single Page Application”作为前端)来调用。如果用户在访问恶意第三方站点时有一个事件 session 授予对这些服务的访问权限,则该站点可能会尝试在幕后调用这些 REST 端点,传递可能危及用户或站点的值。根据 REST 服务的定义方式,有多种方法可以防止这种情况发生。
在单页应用程序的 REST Web 服务的特定情况下,您可以指定对后端 REST 端点的所有请求都使用 XHR 进行,并拒绝任何非 XHR 请求。您可以通过检查是否存在自定义请求 header (类似于 jQuery 的 X-Requested-With)来决定这一点。只有 XHR 类型的请求才能设置这些 header ;来自表单和嵌入式资源的简单 GET 和 POST 请求不能。最后,我们想要指定 XHR 请求的原因让我们回到了最初的问题——XHR 请求受 CORS 规则的约束。
如果您允许 Access-Control-Allow-Origin: *
,那么任何站点都可以代表用户向您的 REST 端点发出任何 AJAX 请求。如果您的 REST 端点涉及任何类型的敏感数据或允许数据持久化,那么这是一个 Not Acceptable 安全漏洞。相反,像我描述的那样强制执行仅限 XHR 的请求,并定义允许发出这些请求的来源白名单。
值得指出的是,如果您的 REST 端点不公开任何敏感信息,或者如果它们不允许用户进行任何持久性数据更改,则 Access-Control-Allow-Origin: *
可能是合适的决定。例如,谷歌地图提供了对公共(public) map 数据的只读 View ;没有理由限制可能希望调用这些服务的第三方站点。
关于javascript - 将所有域添加到 CORS 的安全隐患(访问控制允许来源 : *),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19322973/
这是我的本地域名 http://10.10.1.101/uxsurvey/profile/dashboard 在 Controller 中,我为用户列表设置了一个操作 redirect(control
要处理 Canonical URL,最佳做法是执行 301 重定向还是更好地为 www 和非 www 域使用相同的 IP 地址? 例如: 想要的规范 URL/域是 http://example.com
1 内网基础 内网/局域网(Local Area Network,LAN),是指在某一区域内有多台计算机互联而成的计算机组,组网范围通常在数千米以内。在局域网中,可以实现文件管理、应用软件共享、打印机
1 内网基础 内网/局域网(Local Area Network,LAN),是指在某一区域内有多台计算机互联而成的计算机组,组网范围通常在数千米以内。在局域网中,可以实现文件管理、应用软件共享、打印机
我想创建一个 weblogic 集群,其中有两个托管服务器,每个服务器在物理上独立的远程计算机上运行 根据weblogic文档 All Managed Servers in a cluster mus
我正在运行 grails 3.1.4,但在创建允许我将多个域对象绑定(bind)到其他几个域对象的模式时遇到了问题。作为我正在尝试做的一个例子: 我有三个类(class)。书籍、作者和阅读列表。 作者
我试图使用@count函数来根据它获取数据,但是在没有崩溃报告的情况下它以某种方式崩溃了。 这是代码 class PSMedia: Object { @objc dynamic var id
有谁知道是否有办法只输入字母字符而不输入数字?我想过这样的事情 CREATE DOMAIN countryDomain AS VARCHAR(100) CHECK( VALUE ??? );
我的代码: const checkoutUrl = 'https://example.com/checkout/*' window.onload = startup() function st
一些不是我编写的应用程序,也不是用 PHP 编写的,它为域 www.example.com 创建了一个 cookie。 我正在尝试替换该 cookie。所以在 PHP 中我做到了: setcookie
什么是 oauth 域?是否有任何免费的 oauth 服务?我可以将它用于 StackApps registration 吗? ?我在谷歌上搜索了很多,但找不到答案。 最佳答案 这是redirect_
自从 In October 2009, the Internet Corporation for Assigned Names and Numbers (ICANN) approved the cre
我使用 apache 作为我的应用程序 Web 服务器的代理,并希望即时更改与 sessionid cookie 关联的域名。 该cookie有一个与之关联的.company.com域,我想使用apa
我只想托管一个子域到cloudflare。我不想将主域名的域名服务器更改为他们的域名服务器。真的有可能吗? 最佳答案 是的,这是可能的,但是需要通过CloudFlare合作伙伴进行设置,或者您需要采用
When using socket in the UNIX domain, it is advisable to use path name for the directory directory m
想象两个共享一个域类的 Grails 应用程序。也许是 Book 域类。 一个应用程序被标识为数据的所有者,一个应用程序必须访问域数据。类似于亚马逊和亚马逊网络服务。 我想拥有的应用程序将使用普通的域
我有一个包含字段“URL”的表单。第一部分需要用户在文本框中填写。第二部分是预定义的,显示在文本框的右侧。 例如,用户在文本框中输入“test”。第二部分预定义为“.example.com”。因此,总
如果我要关闭并取消分配 azure 中的域 Controller ,从而生成新的 vm Generationid,我需要采取哪些步骤来恢复它? 最佳答案 what steps do I need to
我想尝试使用 Azure 作为托管提供商(我有一个域)。我读过那篇文章https://learn.microsoft.com/en-us/azure/app-service-web/web-sites
所以.... 我想知道是否有人可以在这方面协助我? 基本上,我已经创建了一个自托管的Docker容器,用作构建代理(Azure DevOps) 现在,我已经开始测试代理,并且由于我们的放置文件夹位于W
我是一名优秀的程序员,十分优秀!