- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我是网站安全的新手,目前正在尝试深入了解同源策略。虽然在 stackoverflow 和其他地方有关于 SOP 概念的非常好的帖子,但我找不到关于 chrome 和其他浏览器是否允许跨域 XHR post 请求被“发送<”的更新信息/strong>' 从一开始。
来自 this 5 年前的帖子,chrome 似乎允许请求传递到请求的服务器,但不允许请求者读取响应。
我在我的网站上测试过,试图从不同的域更改我服务器上的用户信息。详情如下:
用户(登录到 www.mysite.com 时)打开 www.attacker.mysite.com 并按下按钮,向“www.mysite.com”服务器发出 POST 请求...提交的隐藏表单(在这种情况下没有 token )具有更改“www.mysite.com”服务器上用户信息所需的所有信息 --> 结果:CSRF 成功攻击:用户信息确实发生了变化。
现在做同样的事情,但是使用 javascript 通过 JQuery .post
提交表单而不是提交表单 --> 结果:除了 chrome 给出正常响应之外:
No 'Access-Control-Allow-Origin' header is present on the requested resource
,我发现服务器端没有做任何更改......似乎请求甚至没有从浏览器传递过来。用户信息根本没有改变!虽然这听起来不错,但我的预期恰恰相反。
根据我的理解和上面链接的帖子,对于跨域请求,浏览器应该只阻止服务器响应,而不是从一开始就向服务器发送帖子请求。另外,我没有设置任何 CORS 配置;不发送 Access-Control-Allow-Origin header
。但即使我有那个设置,它也应该只适用于“读取”服务器响应而不是实际发送请求......对吧?
我想到了预检,其中发送请求以检查服务器是否允许它,从而在发送其实际数据以更改用户信息之前阻止请求。然而,根据Access_Control_CORS ,这些预检仅在不适用于我的简单 AJAX post 请求的特定情况下发送(其中包括默认情况下带有 enctype 的简单表单 application/x-www-form-urlencoded
并且没有自定义 header 已发送)。
那么 chrome 是否更改了其安全规范以从一开始就防止对跨域的 post 请求?还是我对同源策略的理解遗漏了什么?
无论哪种方式,了解是否存在在不同网络浏览器中实现的更新安全措施的来源都会很有帮助。
最佳答案
XMLHttpRequest
对象的行为已随着时间的推移而重新审视。
第一个 AJAX 请求是不受约束的。
引入 SOP 时,更新了 XMLHttpRequest
以限制每个跨源请求
- If the origin of url is not same origin with the XMLHttpRequest origin the user agent should raise a SECURITY_ERR exception and terminate these steps.
来自 XMLHttpRequest Level 1 , 打开
方法
当时的想法是,无法读取响应的 AJAX 请求是无用的,而且可能是恶意的,所以它们被禁止了。
所以一般来说,跨源 AJAX 调用永远不会到达服务器。此 API 现在称为 XMLHttpRequest Level 1。
事实证明,SOP 通常过于严格,在开发 CORS 之前,Microsoft 开始提供(并试图标准化)一个新的 XMLHttpRequest2
API,它只允许一些特定的请求,被任何 cookie 和大多数 header 。
标准化失败,并在 CORS 出现后合并回 XMLHttpRequest
API。 Microsoft API 的行为大部分被保留,但在服务器的特定允许下(通过使用预检)允许更复杂(读作:潜在危险)的请求。
POST 请求 non simple headers or Content-Type被认为是复杂的,因此需要飞行前。
Pre-flights 使用 OPTIONS 方法完成并且不包含任何表单信息,因此不会在服务器上完成任何更新。
当飞行前检查失败时,用户代理(浏览器)终止 AJAX 请求,保留 XMLHttpRequest Level 1 行为。
简而言之:对于 XMLHttpRequest
,SOP 更强大,尽管 SOP 原则规定了目标,但拒绝任何跨域操作。这是可能的,因为当时没有破坏任何东西。
CORS 放宽了默认允许“非有害”请求并允许其他请求协商的政策。
关于ajax - 浏览器是否允许跨域请求为 "sent"?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40238471/
在我的应用程序中播放背景音乐时遇到问题。 首先,我在第一个 Storyboard View Controller 中的 ViewDidLoad 方法中开始播放音乐。即使我从一个页面跳转到另一个页面,它
我想跨行连接数组,然后进行不同的计数。理想情况下,这会起作用: WITH test AS ( SELECT DATE('2018-01-01') as date, 2 as value,
这是一个场景: Repo A 是一个包含大量模块和依赖项的怪异代码。安装起来并不容易。它由其他人维护并托管在 Github 上。 Repo A 包含一个非常有用的模块 X,并且几乎不依赖于 Repo
目前,我在一台服务器上运行了一个应用程序。有一个 crontab 设置,因此根据指定的规则,在某些时间运行任务。 现在,我正在考虑将我的应用程序迁移到 docker 容器中,以便我能够独立运行我的应用
我有一个全局表,我想在两个不同的 Lua 状态之间保持同步。根据我所阅读和理解的内容,唯一的方法似乎是,在我的 C 后端,在状态之间进行表的深层复制(如果表已被修改)。有没有更好的办法 ? 另外,我看
我们目前有一个 asmx webservice,它公开了一个方法来对 Sql 数据库进行各种更新,内部包装在 SqlTransaction 中。 我正在 WCF 中重写此服务,我们希望将现有方法拆分为
我是 Qt 的新手,所以请原谅这个问题的简单性,但我对 Qt 线程有点困惑。假设我有 3 个线程:主要的默认 GUI 线程和我自己创建的 2 个线程(称为 WorkerThread)。我的每个 Wor
我们的产品有一个 Restful API 和一个服务器渲染的应用程序(CMS)。两者共享数据库。两者都是用django编写的 两者所需的字段和模型并不是相互排斥的,有些仅针对 API,有些针对 CMS
我正在实现一个基于角色的访问控制系统,它具有以下数据库表。 groups --------- id (PK) name level resources --------- id (PK) name r
我有三个应用程序,为了便于管理,我希望将它们分开。他们按照建议作为 Plack 服务器运行 here , 代理在 nginx 后面。 我想有一个单独的应用程序来管理登录,并在所有其他应用程序之间共享该
我的主窗口上有一个 UIWebView。我可以通过我的第二个 View Controller 来控制它吗?如果可以的话你能给我举个例子吗? 最佳答案 是的,你可以。 “如何”是一个基本的 Cocoa/
我想制作一个小型应用程序,从连接到串行端口的设备收集数据,并将其通过 LAN 传递到另一个应用程序,后者将其存储在数据库中。 我已经在一台 PC 上的一个应用程序中完成了此操作,因此实际上会将应用程序
从主 AppDomain,我试图调用在不同 AppDomain 中实例化的类型中定义的异步方法。 比如下面的类型MyClass继承自 MarshalByRefObject并在新的 AppDomain
因为 LiveServerTestCase继承自 TransactionTestCase ,默认行为是在每个测试方法结束时删除测试数据。我想用LiveServerTestCase类,但保留方法之间的测
我正在开发我的第一个 WPF/MVVM 应用程序,但我在命令知识方面遇到了限制! 这是我的场景。 我有一个窗口——Customer.xaml。 它包含 2 个用户控件 查看CustomerSearch
这是我的 WPF 应用程序模型的简化版本: Employee +Name:string Client +Name:string +PhoneNumber:string Appointmen
我有一个 mercurial 存储库,它使用子存储库功能(如 .hgsub 文件中定义的)引入依赖项,但我正在努力让它在 TeamCity 中工作。 我启用了 mercurial_keyring 扩展
我正在尝试使用新的 Azure 虚拟网络公共(public)预览版的对等互连功能来加入我在两个不同订阅(即不同租户)上拥有的两个网络。这可能吗?我没有看到任何其他说法,但是当我尝试在 PowerShe
我有 2 个存储库。由于主干代码位于一个 protected 存储库中,因此我进行了 checkout ,然后 checkin 到另一个存储库(因为用户没有第一个 protected 存储库的权限)。
我有一个项目,其调用结构与此类似: 主要项目/应用 我的图书馆代码 别人的库代码 我的图书馆代码 一切都是用 C# 编写的,我可以访问“其他人的库代码”。他们的代码不包含在我的项目中,因为它是开源的而
我是一名优秀的程序员,十分优秀!