日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
CORS跨域工作機制與安全防范

隨著前后端分離架構(gòu)的逐漸普及,CORS跨域技術(shù)被廣泛應(yīng)用在Web應(yīng)用中,以便不同域之間資源的互相訪問。

創(chuàng)新互聯(lián)公司是一家專業(yè)提供南票企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站設(shè)計、網(wǎng)站建設(shè)、H5建站、小程序制作等業(yè)務(wù)。10年已為南票眾多企業(yè)、政府機構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)絡(luò)公司優(yōu)惠進(jìn)行中。

一、CORS工作機制詳解

CORS的全稱是跨域資源共享(Cross-Origin Resource Sharing),允許瀏覽器向跨域服務(wù)器發(fā)起XMLHttpRequest請求。主要機制分為兩種調(diào)用流程:

1、簡單請求

瀏覽器直接發(fā)出實際請求,無需預(yù)檢。簡單請求滿足以下條件:

  1. 使用下列方法之一:GET、HEAD、POST
  2. 只能設(shè)置以下頭部:Accept、Accept-Language、Content-Language、Content-Type(只限于application/x-www-form-urlencoded、multipart/form-data、text/plain三種類型)

如果滿足這兩個條件,瀏覽器會自動在請求頭中添加 Origin 字段,發(fā)起簡單請求,服務(wù)器根據(jù) Origin 劃定的來源域,決定是否給予響應(yīng)。

2、預(yù)檢請求

如果不滿足簡單請求的條件,瀏覽器會自動發(fā)起預(yù)檢請求(OPTIONS 請求),詢問服務(wù)器請求是否被允許。如:

  1. 瀏覽器發(fā)送 OPTIONS 請求,請求頭中包含 Origin、Access-Control-Request-Method 和 Access-Control-Request-Headers 等信息
  2. 服務(wù)器響應(yīng) OPTIONS 請求,響應(yīng)頭中包含 Access-Control-Allow-Origin、Access-Control-Allow-Methods 和 Access-Control-Allow-Headers 等信息
  3. 瀏覽器對響應(yīng)頭信息進(jìn)行確認(rèn)和緩存
  4. 瀏覽器發(fā)送實際請求。請求頭中自動添加 Origin 字段。
  5. 服務(wù)器進(jìn)行 Access-Control-Allow-Origin 校驗,并響應(yīng)實際請求

二、CORS安全風(fēng)險詳解

CORS 的機制有一定復(fù)雜性,也會有藏著一些安全風(fēng)險。主要包括:

1、CORS誤配置風(fēng)險

如果服務(wù)器端CORS配置錯誤,可能會使得本不應(yīng)該訪問的惡意網(wǎng)站得到數(shù)據(jù)訪問權(quán)限。這屬于典型的CORS誤配置問題。

2、CSRF跨站請求偽造風(fēng)險

攻擊者可利用CORS實現(xiàn)CSRF攻擊。例如惡意網(wǎng)站利用CORS請求接口獲取用戶數(shù)據(jù)或執(zhí)行增刪改操作。這屬于利用CORS實現(xiàn)CSRF攻擊的風(fēng)險。

3、信息泄露風(fēng)險

攻擊者可以利用CORS的一些特性獲取敏感信息。例如根據(jù)CORS頭部判斷網(wǎng)站架構(gòu),根據(jù)錯誤信息判斷后臺技術(shù)棧等。

4、報文劫持風(fēng)險

攻擊者可在客戶端通過JS劫持CORS報文,改變請求參數(shù)、添加非法頭部甚至修改響應(yīng)內(nèi)容。這屬于CORS請求被劫持的風(fēng)險。

5、瀏覽器緩存被污染風(fēng)險

惡意網(wǎng)站可向有緩存的CORS接口大量發(fā)送預(yù)檢請求,導(dǎo)致瀏覽器緩存被其預(yù)檢選項所污染,進(jìn)而影響其他正常CORS請求。

三、防范策略

防范CORS風(fēng)險的關(guān)鍵在于從源頭加強接口訪問控制,嚴(yán)格限制允許跨域請求的來源,具體策略包括:

  • 嚴(yán)格限制允許跨域請求的源(Origin)。生產(chǎn)環(huán)境一般只允許指定的域名請求,不開放。
  • 對安全性要求高的接口,禁用CORS跨域訪問。敏感接口不允許異域調(diào)用。
  • 驗證Origin請求頭防止它被欺騙。攻擊者可能偽造這個字段。
  • 使用CSRF防護(hù)機制,比如校驗HTTP Referer 或在請求中設(shè)置token進(jìn)行校驗。
  • 接口響應(yīng)中避免返回敏感信息。對錯誤信息進(jìn)行遮蔽處理。
  • 在服務(wù)端校驗CORS的請求頭,防止其被客戶端篡改。
  • 對跨域預(yù)檢請求的緩存時長、次數(shù)/頻率進(jìn)行限制。
  • 使用CSP防護(hù)CORS跨域請求遭到劫持的風(fēng)險。
  • 啟用服務(wù)器端的CORS中間件,規(guī)范CORS的實現(xiàn)。

CORS作為一個具有明確邊界訪問控制的跨域解決方案,應(yīng)嚴(yán)格限制在業(yè)務(wù)必需的場景中使用。在啟用CORS的基礎(chǔ)上,采取必要的安全防護(hù)措施,以降低相關(guān)風(fēng)險。


本文名稱:CORS跨域工作機制與安全防范
URL地址:http://m.5511xx.com/article/coggccg.html