gpt4 book ai didi

ajax - 浏览器是否允许跨域请求为 "sent"?

转载 作者:行者123 更新时间:2023-12-02 09:23:09 30 4
gpt4 key购买 nike

我是网站安全的新手,目前正在尝试深入了解同源策略。虽然在 stackoverflow 和其他地方有关于 SOP 概念的非常好的帖子,但我找不到关于 chrome 和其他浏览器是否允许跨域 XHR post 请求被“发送<”的更新信息/strong>' 从一开始。

来自 this 5 年前的帖子,chrome 似乎允许请求传递到请求的服务器,但不允许请求者读取响应。

我在我的网站上测试过,试图从不同的域更改我服务器上的用户信息。详情如下:

  1. 我的域名:“www.mysite.com”
  2. 攻击者域:“www.attacker.mysite.com”根据 Same-Origin-Policy,这两个被认为是不同的来源。
  3. 用户(登录到 www.mysite.com 时)打开 www.attacker.mysite.com 并按下按钮,向“www.mysite.com”服务器发出 POST 请求...提交的隐藏表单(在这种情况下没有 token )具有更改“www.mysite.com”服务器上用户信息所需的所有信息 --> 结果:CSRF 成功攻击:用户信息确实发生了变化。

  4. 现在做同样的事情,但是使用 javascript 通过 JQuery .post 提交表单而不是提交表单 --> 结果:除了 chrome 给出正常响应之外:

    <

No 'Access-Control-Allow-Origin' header is present on the requested resource

,我发现服务器端没有做任何更改......似乎请求甚至没有从浏览器传递过来。用户信息根本没有改变!虽然这听起来不错,但我的预期恰恰相反。

根据我的理解和上面链接的帖子,对于跨域请求,浏览器应该只阻止服务器响应,而不是从一开始就向服务器发送帖子请求。另外,我没有设置任何 CORS 配置;不发送 Access-Control-Allow-Origin header 。但即使我有那个设置,它也应该只适用于“读取”服务器响应而不是实际发送请求......对吧?

我想到了预检,其中发送请求以检查服务器是否允许它,从而在发送其实际数据以更改用户信息之前阻止请求。然而,根据Access_Control_CORS ,这些预检仅在不适用于我的简单 AJAX post 请求的特定情况下发送(其中包括默认情况下带有 enctype 的简单表单 application/x-www-form-urlencoded 并且没有自定义 header 已发送)。

那么 chrome 是否更改了其安全规范以从一开始就防止对跨域的 post 请求?还是我对同源策略的理解遗漏了什么?

无论哪种方式,了解是否存在在不同网络浏览器中实现的更新安全措施的来源都会很有帮助。

最佳答案

XMLHttpRequest 对象的行为已随着时间的推移而重新审视。

第一个 AJAX 请求是不受约束的。
引入 SOP 时,更新了 XMLHttpRequest 以限制每个跨源请求

  1. If the origin of url is not same origin with the XMLHttpRequest origin the user agent should raise a SECURITY_ERR exception and terminate these steps.

来自 XMLHttpRequest Level 1 , 打开方法

当时的想法是,无法读取响应的 AJAX 请求是无用的,而且可能是恶意的,所以它们被禁止了。
所以一般来说,跨源 AJAX 调用永远不会到达服务器。此 API 现在称为 XMLHttpRequest Level 1

事实证明,SOP 通常过于严格,在开发 CORS 之前,Microsoft 开始提供(并试图标准化)一个新的 XMLHttpRequest2 API,它只允许一些特定的请求,被任何 cookie 和大多数 header 。

标准化失败,并在 CORS 出现后合并回 XMLHttpRequest API。 Microsoft API 的行为大部分被保留,但在服务器的特定允许下(通过使用预检)允许更复杂(读作:潜在危险)的请求。

POST 请求 non simple headers or Content-Type被认为是复杂的,因此需要飞行前。

Pre-flights 使用 OPTIONS 方法完成并且不包含任何表单信息,因此不会在服务器上完成任何更新。
当飞行前检查失败时,用户代理(浏览器)终止 AJAX 请求,保留 XMLHttpRequest Level 1 行为。


简而言之:对于 XMLHttpRequest,SOP 更强大,尽管 SOP 原则规定了目标,但拒绝任何跨域操作。这是可能的,因为当时没有破坏任何东西。
CORS 放宽了默认允许“非有害”请求并允许其他请求协商的政策。

关于ajax - 浏览器是否允许跨域请求为 "sent"?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40238471/

30 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com