apache - 绕过 "Options request"的身份验证(因此所有 header 都在响应中发送)-6ren

apache - 绕过 "Options request"的身份验证(因此所有 header 都在响应中发送)

转载作者：行者123 更新时间：2023-12-02 01:57:30

24

4

这是在跨域资源共享的背景下。对于预检请求，服务器不会发送 header 集。
当“选项请求”未传递有效 cookie 时，其响应中的服务器不会发送我设置的 header ，但是，它会发送“200 OK”。我用 curl 检查了这个，如下所示(显然，我在这里用一个虚拟的“xyzabcde”替换了我的有效cookie)

没有 cookie 的 curl 请求:

curl -H "Origin: app2_url"   -H "Access-Control-Request-Method: POST"   -H "Access-Control-Request-Headers: accept, origin, content-type"   -X OPTIONS --verbose   app1_url/jsonrpc.cgi

(发送以下回复...)

HTTP/1.1 200 OK
Date: Tue, 01 Oct 2013 11:37:36 GMT
Server: Apache
Expires: Tue, 01 Oct 2013 11:37:36 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Expires: Tue, 01 Oct 2013 11:37:36 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Content-Length: 4531
Content-Type: text/html; charset=utf-8

使用“-H Cookie:xyzabcde”:

curl -H "Origin: app2_url"   -H "Access-Control-Request-Method: POST"   -H "Access-Control-Request-Headers: accept, origin, content-type" "-H Cookie:xyzabcde"  -X OPTIONS --verbose   app1_url/jsonrpc.cgi

(发送以下回复...)

HTTP/1.1 403 Forbidden
Date: Wed, 02 Oct 2013 18:48:34 GMT
Server: Apache
X-frame-options: ALLOW-FROM app2_url
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: accept, origin, content-type, Man, Messagetype, Soapaction, X-Requested-With
Access-Control-Allow-Methods: GET, POST, HEAD, PUT, OPTIONS
Access-Control-Allow-Origin: app2_url
Access-Control-Max-Age: 1800
Transfer-Encoding: chunked
Content-Type: application/json; charset=UTF-8

apache 配置看起来像......

<VirtualHost *:443>
.
.
Header always set X-Frame-Options "ALLOW-FROM app2_url"
Header  always set  Access-Control-Allow-Credentials "true"
Header  always set  Access-Control-Allow-Headers    "accept, origin, content-type, Man, Messagetype, Soapaction, X-Requested-With"
Header  always set  Access-Control-Allow-Methods    "GET, POST, HEAD, PUT, OPTIONS"
Header  always set  Access-Control-Allow-Origin    "app2_url"
Header  always set  Access-Control-Max-Age  "1800"
.
.
.
<Directory /app1/dir/>      
    Options Includes FollowSymLinks ExecCGI MultiViews
    AllowOverride None
    Order allow,deny
    allow from all
    AuthType Net
    PubcookieInactiveExpire -1
    PubcookieAppID app1.company.com
    require valid-user
</Directory>
.
.
</VirtualHost>

如何使所有 header 都发送以响应未经身份验证的请求？
我想，理想情况下，Options 请求应该不需要任何身份验证。

最佳答案

我们用不同的配置解决了这个问题。下面是来自/usr/local/apache/conf/extra 的 myApplication.conf 文件的片段

    <Location "/myService">
      SetEnvIf Request_URI "/healthCheck" REDIRECT_noauth=1
      SetEnvIf Request_Method "OPTIONS" REDIRECT_noauth=1
      AuthType Basic
      AuthName "myService"
      AuthUserFile /usr/local/apache/conf/passwd/passwords
      AuthGroupFile /usr/local/apache/conf/passwd/groups
      Require group GroupName
      Order allow,deny
      Allow from env=REDIRECT_noauth
      Satisfy any
   </Location>

因此，我们可以绕过身份验证:

基于特定的 URI，在上面的例子中/healthCheck 被绕过

基于 HTTP 方法，在上面的例子中 OPTIONS 被绕过，其他 HTTP 方法会提示 auth

希望它可以帮助某人解决问题。

关于apache - 绕过 "Options request"的身份验证(因此所有 header 都在响应中发送)，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/19145829/

24

4

0

文章推荐： sql - 使用季度中每一天的处方量创建日期表

文章推荐： sockets - Lua Socket无法通过Ctrl+C正常停止

文章推荐： durandaljs 子路由器停用事件

php - Ajax 响应 HTML 响应
我正在尝试检查 Entry 中是否存在重复项，并使用内联消息提醒用户该数字存在。 $(document).ready(function(){ $("#con1").blur(function(
python - 如何在基于类的 View 中返回 JSON 响应，而不是 HTTP 响应
我有一个基于类的 View 。我在引导模式上使用 Ajax。为了避免页面刷新，我想使用此类基于 View 返回 JSON 响应而不是 HTTP 响应，但我只看到了如何为基于函数的 View 返回 JS
C# Hue Bridge PUT 发送 OK 响应。无 API 响应
关闭。这个问题是not reproducible or was caused by typos .它目前不接受答案。这个问题是由于错别字或无法再重现的问题引起的。虽然类似的问题可能是on-topi
http-status-codes - 根除 401 "Unauthorised"响应，然后是 200 "Ok"响应
我有一个大型内部企业基于 Web 的应用程序在 IIS6 上运行 ASP.NET 3.5，生成 401 个“未经授权”响应，然后是 200 个“Ok”响应(如 Fiddler 所述)。我知道为什么会发
javascript - Express 不会从一个 Controller 返回 HTTP 响应，但在其他 Controller 中会返回 HTTP 响应
感谢您研究我的问题。我有一个node/express服务器，配置了一个server.js文件，它调用urls.js，而urls.js又调用 Controller 来处理http请求，所有这些都配置相
node.js - Curl 正在获取 POST 响应，但 Node.js 未获取 POST 响应
当我使用以下命令时，我得到正确的 JSON 响应: $ curl --data "regno=&dob=&mobile=" https://vitacademics-rel.herokuapp.co
RESTful POST 响应
我有一个非常简单的 RESTful 服务，它通过 POST 接收一些表单数据，其目的是在云存储(Amazon S3、Azure Blob 存储等)中简单地保留文本主体(具有唯一 ID)作为一个文件..
sockets - UDP 响应
UDP 不发送任何 ack，但它会发送任何响应吗？我已经设置了客户端服务器UDP程序。如果我让客户端向不存在的服务器发送数据，那么客户端会收到任何响应吗？我的假设是；客户端 --> 广播服务器地
scala - 如何在电梯中记录请求/响应
我有一个电梯项目，其中有一个扩展 RestHelper 的类，看起来像这样 serve{ "api" / "mystuff" prefix { case a
Kong 自定义错误消息/响应
我们正在寻求覆盖 Kong 错误响应结构并编写自定义消息(即用我们的自定义消息替换“超出 API 速率限制”、“无效的身份验证凭据”等)。我们要找的错误响应结构(代码是自定义的内部错误代码，与HTT
iphone - 响应 EKEventStoreChangedNotification
我正在尝试监听 EKEventStoreChangedNotification 以检查当我的应用程序处于后台时日历是否已更改。我在 View Controller 的 initWithNibMeth
javascript - 响应.写入divIDE
我了解 javascript，并且正在学习 ASP.NET C# 我想要做什么(完成的是javascript): document.getElementById('divID-1'
java - 在Java中的BrowserMob中仅获取POST请求/响应
是否可以过滤所有 har 对象并仅获取 POST 请求/响应？也许在初始化 BrowserMobProxyServer 期间是这样做的方法？我需要将 har 对象保存到文件中并上传到 har 查看器。
php - Symfony2 响应
我正在尝试向 Oauth 的 API 发送响应。遗憾的是，Symfony2 文档在解释 $response->headers->set(...); 的所有不同部分方面做得很差。这是我的 OauthC
python 响应 - 并非所有请求都已执行
我正在尝试测试用例来模拟 api 调用，并使用 python 响应来模拟 api 调用。下面是我的模拟， with responses.RequestsMock() as rsps: url
haskell - 我将如何以可扩展的方式抽象命令/响应？
在尝试在 Haskell 中进行一些领域驱动设计时，我发现自己遇到了这个问题: data FetchAccessories = FetchAccessories data AccessoriesRes
java - 如何在项目reactor中设置阻塞异步请求/响应？
我正在与 ANT+ USB 棒连接，并用项目 react 器替换我自己天真的“MessageBus”，因为它看起来非常合适。 USB接口(interface)本质上是异步的(单独的输入/输出管道)，我
ios - 如何使用AFHTTPSessionManager记录每个请求/响应？
我正在将项目迁移到AFNetworking 2.0。使用AFNetworking 1.0时，我编写了代码来记录控制台中的每个请求/响应。这是代码: -(AFHTTPRequestOperation *
php - Ajax 响应
我有以下代码段。 ajaxRequest.onreadystatechange = function(){ if(ajaxRequest.readyState == 4){
来自帖子的 Jquery 响应
我有问题......我在 php 中有一个监听器脚本可以执行以下操作: if ($count != 1) {echo 'no';} else { echo "yes";} 因此它会回显"is"或“

首页

博学

6Ren·AI

商城

apache - 绕过 "Options request"的身份验证(因此所有 header 都在响应中发送)