java - 这个 CORS 处理程序安全吗？

Question

我在我的一个简单的服务器代理中编写了这个简单的方法来处理 CORS。

private void handleCors(HttpServletRequest req, HttpServletResponse resp) {
  final String origin = req.getHeader("Origin");
  if (Strings.isNullOrEmpty(origin)) {
    return;
  }
  if (!origin.startsWith("http://localhost:")) {
    return;
  }
  resp.setHeader("Access-Control-Allow-Origin", origin);
  resp.setHeader("Access-Control-Allow-Credentials", "true");
  resp.setHeader("Access-Control-Expose-Headers", "Authorization");
  resp.setHeader("Access-Control-Allow-Headers", "Authorization, Content-Type");
}

实际应用不需要它，它仅在手动测试时使用(使用 ionic serve)。我想，这是安全的，因为除了原点是本地主机时什么都不做，但总比后悔好。

此外，findbugs 提示 response splitting vulnerability .我应该只使用 URLEncoder.html#encode 吗？或者还有更多？

在包含空格的情况下，一般会删除空格或不添加 CORS header 吗？

Answer 1

CORS 比 JSONP 等早期技术更安全、更灵活。

对于 GET 请求，WebAPI 开箱即用。但是，一旦您开始将它用于 POST、PUT 或 DELETE 操作，CORS 就会启动并阻止请求访问服务器。 CORS 会停止任何跨域请求，因此如果您的 api 在 www.myapi.com 上运行并且来自 www.mywebsite.com 的请求进入，则该请求将被丢弃。这是一项安全功能，可确保来自未知域的请求无法到达服务器。

如果您使用 Web 客户端执行 ajax 调用，那么您还需要添加一件事到您的 ajax 调用中，以确保所有浏览器上的 CORS 字词。

$.support.cors = true
crossDomain: true

资源链接:

How to Implement Cross Domain Requests (CORS) in WebAPI, old school?

But in a single line, if we want to say then CORS handler is not safe. Already @zapl has given info about this.

现在我想给你一些带有场景的攻击类型。希望它能给你明确的信息。

CORS(In)安全性？

1. 一些安全问题是由于实现不当引起的CORS，最常在服务器 header 。
2. 客户不应完全信任接收到的内容并评估或呈现未经清理的内容，这可能会导致错位信任。
3. 允许 CORS 的应用程序可能容易受到 CSRF 攻击攻击。
4. 长时间缓存 Preflight 响应可能会导致攻击因滥用 Preflight 客户端缓存而引起。
5. 基于 Origin header 的访问控制决策可能会导致漏洞，因为这可能会被攻击者欺骗。

CORS 安全 - 通用允许

• 将“Access-Control-Allow-Origin” header 设置为 *
• 有效地将内容转变为公共(public)资源，允许从任何域访问。

Scenarios:

• An attacker can steal data from an intranet site that has set this header to * by enticing a user to visit an attacker controlled site
  on the Internet.

• An attacker can perform attacks on other remote apps via a victim’s browser when the victim navigates to an attacker controlled site.

---

CORS 安全——错位的信任

1. 两个域之间的数据交换基于信任
2. 如果参与数据交换的服务器之一是如果遭到破坏，则 CORS 模型将面临风险

Scenarios:

• An attacker can compromise site A and host malicious content knowing site B trusts the data that site A sends to site B via CORS request resulting in XSS and other attacks.
• An attacker can compromise site B and use the exposed CORS functionality in site A to attack users in site A.

CSRF 与 CORS

1. 服务器可能会处理客户端更改服务器端数据的请求，同时验证 Origin header 是否已设置
2. 攻击者可以使用 XHR 的 .withCredentials = “true” 属性来将任何 cookie 重播到受害者登录的应用程序在

Scenarios:

• An attacker sets the Origin header or uses a trusted site A to send a non idempotent request to site B.
• The victim who is logged into site B when he is viewing the trusted site A causes site B to create a user account without his knowledge
  via a CSRF attack.

CORS – 预检响应的缓存

1. Access-Control-Max-Age header 设置为高值，允许浏览器缓存预检响应。
2. 将预检响应缓存更长的时间可能会造成安全风险。
3. 如果在服务器上更改了 COR 访问控制策略浏览器仍将遵循 Preflight 中可用的旧策略结果缓存。

CORS——基于源的访问控制

1. Origin header 表示请求来自特定的域，但不保证它。
2. 欺骗 Origin header 允许访问页面，如果访问是基于这个标题

Scenarios:

• An attacker sets the Origin header to view sensitive information that is restricted
• Attacker uses cURL to set a custom origin header:

     curl --header 'origin:http://someserver.com' http://myserver.com:90/demo/origin_spoof.php

这里给出了一个例子。你可以通过这个链接:

1. https://www.owasp.org/index.php/Test_Cross_Origin_Resource_Sharing_(OTG-CLIENT-007)
2. Some Security Impacts of HTML5 CORS or How to use a Browser as aProxy