个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
25
4
我们可以设置并允许跨源资源共享
所有域、特定域和不允许任何域
但我想知道是否允许 CORS 对特定域有意义。
如果黑客知道服务器允许的域。 (例如 www.facebook.com)
黑客可以将请求中的 origin header 伪造为 www.facebook.com
因此,从安全的角度来看。我认为只有 Allow all domains 和 Not allow for any domains 才有意义。因为很容易伪造请求者的来源
我说得对吗??
最佳答案
浏览器是执行 CORS 限制的地方。浏览器知道脚本运行的真实来源。这就是它们的工作方式。如果他们不这样做,Web 上的安全性就会为零。
因此,浏览器会根据他们所知道的生成 XHR 或 fetch() 的 JavaScript 代码的真正来源进行 CORS 检查。请求—不反对 Origin 的值标题。
浏览器设置 Origin请求 header 并首先通过网络发送它。浏览器设置 Origin值(value)基于他们所知道的真正来源,而不是供他们自己使用——因为他们已经知道来源是什么,并且该值(value)是他们在内部使用的。
所以即使你设法改变一个Origin header 浏览器通过网络发送,这对浏览器来说无关紧要——它将忽略该值并继续检查真实来源。
更多详情
就 CORS 而言,服务器只是发回文档,带有 Access-Control-Allow-Origin header 和其他 CORS header ,发送给任何请求它们的客户端。
考虑一下你是否使用curl或者从服务器请求文档的东西:服务器不检查 Origin如果请求来源与 Access-Control-Allow-Origin 不匹配,则拒绝发送文档 header 。服务器无论如何都会发送响应。
就客户而言,curl和非浏览器工具没有起源的概念,因此通常不会发送任何 Origin标题开头。你可以制作curl发送一个——你想要的任何值——但这毫无意义,因为服务器不关心值是什么。
和curl等,不要检查 Access-Control-Allow-Origin 的值服务器发送的响应头,如果请求的 Origin 拒绝获取文档 header 与 Access-Control-Allow-Origin 不匹配服务器响应中的 header 。他们只是拿到文件。
但是浏览器不同。浏览器引擎实际上是唯一具有起源概念的客户端,并且知道运行 Web 应用程序的 JavaScript 的实际起源。
与curl不同等,如果 XHR 或 fetch(),浏览器将不会让您的脚本获取文档。请求它的调用来自服务器的 Access-Control-Allow-Origin 中不允许的来源标题。
再一次,浏览器确定来源的方式是已经知道来源是什么,而不是基于任何Origin 的值。请求 header 可能最终会在请求中发送。
关于http - 在安全方面,允许特定域的 CORS 有意义吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40835863/
25
4
0
我对构面有疑问,并根据构面进行了一些过滤。 我知道这是一个重复的问题,但我找不到答案。 我想知道如何在 flex 搜索中实现相同的功能。 假设我有一个有关汽车和某些方面的索引-例如模型和 颜色。 颜色
我正在尝试找到一种解决方案来为某些方面创建子方面列表。 我有一些产品的衣服尺码,它们存储在 solr 中 "Size_both":"W30L30","尺寸宽度":"W30","Size_length"
我正在尝试找到一种解决方案来为某些方面创建子方面列表。 我有一些产品的衣服尺码,它们存储在 solr 中 "Size_both":"W30L30","尺寸宽度":"W30","Size_length"
我对方面有疑问。他们不开火。我有小方面: @Aspect @Component public class SynchronizingAspect { @Pointcut("execution(
这是在 ruby 中启用散列自动生成的巧妙技巧(取自 facets): # File lib/core/facets/hash/autonew.rb, line 19 def self.a
这个问题在这里已经有了答案: 8年前关闭。 Possible Duplicate: Creating a facet_wrap plot with ggplot2 with different ann
XMLHttpRequest 能否从 http://mydomain.example/ 向 http://mydomain.example:81/ 发送请求? 最佳答案 要使两个文档被视为具有相同的来
我对 Elasticsearch 中的方面有一点问题。 我有一个表格视频,一个表格 channel ,一个 channel 有很多视频。 我只想在 X 个最新视频上显示每个 channel 的 %vi
假设我正在为 4 个人绘制数据图表:Alice、Bob、Chuck 和 Dana。我正在使用 ggplot2 制作一个多面图,每个人一个方面。我的磁盘上还有 4 张图像:Alice.png、Bob.p
我已经下载了收件箱,并且正在使用Pig和Hadoop处理电子邮件。我已经使用Pig和Wonderdog在ElasticSearch中为这些电子邮件编制了索引。 现在,我为收件箱中的每个电子邮件地址创建
我有一个模块如下: define([...], function(...){ function anothermethod() {...} function request() {....}
(defprotocol IAnimal "IAnimal" (report [o] (println (type o) " reporting.\n") (inner-repor
我有一个 Bean 需要向 InfluxDB 报告。数据库在表 INFLUX_DB_SERVER 中注册了 InfluxDB。如果你看一下代码,你会发现方法reportMemory做了很多工作,它构造
我的问题与分面有关。在下面的示例代码中,我查看了一些分面散点图,然后尝试在每个分面的基础上叠加信息(在本例中为平均线)。 tl;dr 版本是我的尝试失败了。要么我添加的平均线计算所有数据(不尊重方面变
假设我正在为 4 个人绘制数据图表:Alice、Bob、Chuck 和 Dana。我正在使用 ggplot2 制作一个多面图,每个人一个方面。我的磁盘上还有 4 张图像:Alice.png、Bob.p
尝试用两个方面包装服务类来获取此调用链: javanica..HystrixCommandAspect -> MyCustomAroundAspect -> MyService 遇到两个问题: Hys
我是 AspectJ 的初学者。我用它在我的网络驱动程序中截取屏幕截图。以下是我的包结构。 我想知道如何在 Browser 类中运行我的程序,以便它使用 Screenshots 类中定义的 Aspec
我在使用 spring aop 时遇到问题 (编辑:如果我的方法不是静态的,则代码可以正常工作) 我的包中有这个结构: aaa.bbb.ccc.Clase1.java aaa.bbb.ddd.Clas
我有一个通用存储库类,其中包含各种标记有 PostSharp 方面 (SecuredOperation) 的方法... public class Repository : IRepository, I
我有一个运行多线程的 Hibernate 事务方法“doImportImpl”。而某些记录需要依次导入,所以代码结构大致是这样的: public RecordResult doImportImpl(S
我是一名优秀的程序员,十分优秀!