日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
CORS跨域工作機制與安全防范

隨著前后端分離架構的逐漸普及,CORS跨域技術被廣泛應用在Web應用中,以便不同域之間資源的互相訪問。

創(chuàng)新互聯(lián)公司是一家專業(yè)提供南票企業(yè)網(wǎng)站建設,專注與成都網(wǎng)站設計、網(wǎng)站建設、H5建站、小程序制作等業(yè)務。10年已為南票眾多企業(yè)、政府機構等服務。創(chuàng)新互聯(lián)專業(yè)網(wǎng)絡公司優(yōu)惠進行中。

一、CORS工作機制詳解

CORS的全稱是跨域資源共享(Cross-Origin Resource Sharing),允許瀏覽器向跨域服務器發(fā)起XMLHttpRequest請求。主要機制分為兩種調(diào)用流程:

1、簡單請求

瀏覽器直接發(fā)出實際請求,無需預檢。簡單請求滿足以下條件:

  1. 使用下列方法之一:GET、HEAD、POST
  2. 只能設置以下頭部:Accept、Accept-Language、Content-Language、Content-Type(只限于application/x-www-form-urlencoded、multipart/form-data、text/plain三種類型)

如果滿足這兩個條件,瀏覽器會自動在請求頭中添加 Origin 字段,發(fā)起簡單請求,服務器根據(jù) Origin 劃定的來源域,決定是否給予響應。

2、預檢請求

如果不滿足簡單請求的條件,瀏覽器會自動發(fā)起預檢請求(OPTIONS 請求),詢問服務器請求是否被允許。如:

  1. 瀏覽器發(fā)送 OPTIONS 請求,請求頭中包含 Origin、Access-Control-Request-Method 和 Access-Control-Request-Headers 等信息
  2. 服務器響應 OPTIONS 請求,響應頭中包含 Access-Control-Allow-Origin、Access-Control-Allow-Methods 和 Access-Control-Allow-Headers 等信息
  3. 瀏覽器對響應頭信息進行確認和緩存
  4. 瀏覽器發(fā)送實際請求。請求頭中自動添加 Origin 字段。
  5. 服務器進行 Access-Control-Allow-Origin 校驗,并響應實際請求

二、CORS安全風險詳解

CORS 的機制有一定復雜性,也會有藏著一些安全風險。主要包括:

1、CORS誤配置風險

如果服務器端CORS配置錯誤,可能會使得本不應該訪問的惡意網(wǎng)站得到數(shù)據(jù)訪問權限。這屬于典型的CORS誤配置問題。

2、CSRF跨站請求偽造風險

攻擊者可利用CORS實現(xiàn)CSRF攻擊。例如惡意網(wǎng)站利用CORS請求接口獲取用戶數(shù)據(jù)或執(zhí)行增刪改操作。這屬于利用CORS實現(xiàn)CSRF攻擊的風險。

3、信息泄露風險

攻擊者可以利用CORS的一些特性獲取敏感信息。例如根據(jù)CORS頭部判斷網(wǎng)站架構,根據(jù)錯誤信息判斷后臺技術棧等。

4、報文劫持風險

攻擊者可在客戶端通過JS劫持CORS報文,改變請求參數(shù)、添加非法頭部甚至修改響應內(nèi)容。這屬于CORS請求被劫持的風險。

5、瀏覽器緩存被污染風險

惡意網(wǎng)站可向有緩存的CORS接口大量發(fā)送預檢請求,導致瀏覽器緩存被其預檢選項所污染,進而影響其他正常CORS請求。

三、防范策略

防范CORS風險的關鍵在于從源頭加強接口訪問控制,嚴格限制允許跨域請求的來源,具體策略包括:

  • 嚴格限制允許跨域請求的源(Origin)。生產(chǎn)環(huán)境一般只允許指定的域名請求,不開放。
  • 對安全性要求高的接口,禁用CORS跨域訪問。敏感接口不允許異域調(diào)用。
  • 驗證Origin請求頭防止它被欺騙。攻擊者可能偽造這個字段。
  • 使用CSRF防護機制,比如校驗HTTP Referer 或在請求中設置token進行校驗。
  • 接口響應中避免返回敏感信息。對錯誤信息進行遮蔽處理。
  • 在服務端校驗CORS的請求頭,防止其被客戶端篡改。
  • 對跨域預檢請求的緩存時長、次數(shù)/頻率進行限制。
  • 使用CSP防護CORS跨域請求遭到劫持的風險。
  • 啟用服務器端的CORS中間件,規(guī)范CORS的實現(xiàn)。

CORS作為一個具有明確邊界訪問控制的跨域解決方案,應嚴格限制在業(yè)務必需的場景中使用。在啟用CORS的基礎上,采取必要的安全防護措施,以降低相關風險。


本文名稱:CORS跨域工作機制與安全防范
分享URL:http://www.5511xx.com/article/coggccg.html