gpt4 book ai didi

cors - CORS 如何保护应用程序?

转载 作者:行者123 更新时间:2023-12-04 17:09:00 31 4
gpt4 key购买 nike

我在掌握 CORS 概念时遇到问题...

我认为同源策略保护应用程序不会对“不受信任的域”进行 ajax 调用。所以, mydomain.com 发出 ajax 调用somedomain.com 并且不会检索资源 JSON/Script。

我认为这是为了在发现一些 XSS 漏洞并且有人将使用该标签的代码放入您的页面内容时保护网络应用程序,现在可以对其他域进行 ajax 调用。 - 我对吗?

如果我是对的,那么 CORS 不提供任何保护,因为服务器策略说如果来自 的请求mydomain.com 来到 somedomain.com 应该允许。现在,如果我进行攻击,我会添加我的脚本,并在我的服务器中设置 CORS 策略以允许这些请求。从我得到的 CORS 可以完全绕过同源策略

:|

更新:

阅读更多我发现声称CORS不是为了保护的答案mydomain.com 应用程序,但 somedomain.com .假设 somedomain.com 是您的银行,提供 API 以进行银行转账。银行将允许来自已加载其应用程序的浏览器(同一域)的 API 调用。在他们的 CORS 政策中,他们可以说脚本来自 mydomain.com 可以调用他们的API。请注意,客户端的浏览器可以拥有银行设置 nad 的 cookie,通过来自 的脚本打开银行进行攻击。 mydomain.com

最佳答案

CORS 不保护应用程序。

同源策略通过防止其他站点使用登录用户的浏览器从中读取数据来保护应用程序。

CORS 允许服务器授予其他站点读取该数据的权限(用于需要共享信息的时间)。即 CORS 是您怎么说“不要在此处应用同源政策”。

Now, if I am attacking I would add my script and in my server I would set the CORS policy to allow those requests.



否。托管数据的服务器必须设置 CORS header 。您不能授予自己的脚本权限以从其他人的站点读取数据。

XSS 是一种不相关的安全漏洞类别。 CORS 和同源策略与它们无关。

关于cors - CORS 如何保护应用程序?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27522962/

31 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com