- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
我不确定在 Access-Control-Allow-Origin 和 cookie 等方面的安全细节。
我试图制作一个允许从任何网站进行身份验证的 API。因此我需要设置:
Access-Control-Allow-Origin
到 *
和
Access-Control-Allow-Credentials
为 true
由于安全限制,这是不允许的。
但是,将 Access-Control-Allow-Origin
响应 header 设置为请求的 Origin
header 的值会出现什么问题?这是一个巨大的安全漏洞吗?!
例如( Node )
// CORS
app.all('*', function (req, res, next) {
res.header('Access-Control-Allow-Origin', req.headers.origin);
res.header('Access-Control-Allow-Headers', 'origin, content-type, accept');
res.header('Access-Control-Allow-Credentials', 'true');
res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');
if (req.method == 'OPTIONS') {
res.status(200).end();
}
next();
});
最佳答案
如果您接受 API 的“默认” session 管理方法,Access-Control-Allow-Origin 和 Access-Control-Allow-Credentials header 组合可能会给您的网站带来风险。例如,如果 session 是通过 cookie(常见)、basic/NTLM/Kerberos 身份验证(发生)或客户端证书(非常罕见)维护的。
如果您使用 Authentication: Bearer
header 或类似 header ,浏览器不会自动发送 session token ,那么这可能不会成为问题(除非您也接受其他方法,并且您的合法用户使用这些)。
What would be the problem with setting the Access-Control-Allow-Origin response header to the value of the Origin header of the request?
这与允许来源 *
完全相同,并且不需要任何攻击者的额外努力。但是,您将能够以类似的方式解决此问题。如果您有一个预先批准的域列表,您希望允许访问,您可以从发送的 Origin
header 中检查该域,如果它与允许的匹配,您可以反射(reflect)
。Access-Control-Allow-Origin
中的 Origin
*
的安全风险在于它将允许任何站点 读取可能包含私有(private)用户数据的内容。
因为您允许任何域使用凭据联系您的 API(有效 Access-Control-Allow-Origin: *
和 Access-Control-Allow-Credentials: true
) 您还允许其他域可能劫持数据。
例如,当您的受害者登录到您的 API 时,攻击者伪造了一封电子邮件给您的受害者,让他们去观看攻击者域 www.evil.com
上的有趣视频。在播放猫视频时,攻击者域向位于 www.example.com/Get_User_Profile_Details
的 API 发出 AJAX 请求,并读取用户的详细信息,包括出生日期、家庭住址、电话号码和其他详细信息。隐含的 Access-Control-Allow-Origin: *
和 Access-Control-Allow-Credentials: true
将允许 CORS 在通常被Same Origin Policy .
因此,为了防止这种情况发生,您应该只为已批准的域输出 Access-Control-Allow-Credentials
header 。
I was trying to produce an API that allowed authentication from any website.
如果您确实需要从任何 网站访问,那么您需要小心。您可以根据 session ID 存储初始身份验证请求(即用户输入用户名和密码)的 Origin
。对于每个请求,您都需要检查 Origin
并查看它是否与针对服务器端 session 存储的 Origin
匹配。如果是这样,您输出 Access-Control-Allow-Origin: https://www.example.org
header (假设 www.example.org
是用户登录的位置) 如果不是,则根本不输出 Access-Control-Allow-Origin
。
您还可以找到 this post interesting .
关于node.js - CORS 安全 : Set Access-Control-Allow-Origin to Origin on Request Header,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25429411/
我正在 Angular js和sails.js(node.js框架)之间的cors问题上挣扎 我尝试修复错误:XMLHttpRequest无法加载http://localhost:1337/en/au
我在我的应用程序中动态创建一个 iframe,结果如下所示: 这样的沙箱配置是否安全(特别是允许将 iframe 内容视为来自同一来源)? 最佳答案 正如 Namey 评论的那样,allow-sam
突然,似乎没有更改我的网络应用程序中的任何内容,我在 Chrome 中打开它时开始收到 CORS 错误。我尝试添加 Access-Control-Allow-Origin: *标题。然后我得到这个错误
我正在使用 Ionic Framework 开发应用程序。 在后端,我为 api 编写了一个 Flask 应用程序,如下所示: @API.route("/saverez",methods=["POST
我正在尝试从 onesignal api 发送 POST 请求 代码 axios({ method: 'post', url: 'https://onesignal.com/api/v1/no
我一直在寻找一些类似的问题来寻找答案,但我找不到。我有一个带有 express 的 node.js 服务器: app.use(function(req, res, next) { res.head
我使用 Google Cloud Functions 创建了一个 API 端点,并试图从 JS 获取函数中调用它。 我遇到了我很确定与 CORS 或输出格式有关的错误,但我不确定发生了什么。其他一些
当我尝试从我的 Angular 6 应用程序访问 Webhdfs 时,我收到如下所示的错误。在我看来,我几乎尝试了所有方法,包括更改 core-site.xml 和 hdfs-site.xml 中的设
我刚刚学习 ajax 和 cors 一些东西,现在我想知道 chrome 插件“allow-control-allow-origin”是如何工作的。 当我尝试执行正常的 ajax 请求时,控制台显示错
我正在努力理解如何允许用户在列表中创建新记录,但只允许创建者更新他们自己的帖子。 例如。以下结构: post { post1: { author: "user1"
我们的网络上有 2 个内部(内联网)Windows 服务器,仅适用于本地网络。在 server1 上安装了 Spark,我们可以在其中查询 Jabber 信息,如下所示: http://server1
所以在 routing.yml 中我定义了以下路由,以便编辑和删除特定设置: 路由.yml: settings.editDefaults: path: settings/{id}/d
我哪里出错了 title $.get("http://api.angel.co/1/tags/1654/startups?callback=aaa", function(data
首先,对您可能犯的语法错误表示歉意。我的英语不是很好。 我是 Spring 新手,我正在尝试创建基本身份验证安全性。 我正在尝试配置一个端点具有公共(public)访问权限,而其他端点则具有用户访问权
这个问题已经有答案了: 已关闭11 年前。 Possible Duplicate: NULL in MySQL (Performance & Storage) 如果出现以下情况,您是否强烈建议取消选中
我正在尝试将我的一个网站中的内容加载到另一个网站中: $('#include-from-outside').load('http://lujanventas.com/plugins/banne
这里出了什么问题? OPTIONS https://twitter.com/oauth/request_token 401 (Unauthorized) jsOAuth-1.3.4.js:483 XM
allow-control-allow-origin : * header 存在于 API 响应中,但浏览器仍显示错误。网络 403 错误。 这是来自 API 的示例响应 header : Acces
在 Go 中制作 slice 时的 capacity 参数对我来说意义不大。例如, aSlice := make([]int, 2, 2) //a new slice with length and
Gitlab 保护分支中“允许推送”和“允许 merge ”是什么意思 最佳答案 引用 Gitlab Documentation here Using the "Allowed to push" an
我是一名优秀的程序员,十分优秀!