Fatal编程技术网
  • cors/
  • Cors 考虑到现代浏览器,服务器端是否需要XSS保护技术?

Cors 考虑到现代浏览器,服务器端是否需要XSS保护技术?

cors

Cors 考虑到现代浏览器,服务器端是否需要XSS保护技术?,cors,xss,csrf,Cors,Xss,Csrf,是真的吗 现代浏览器向任何跨域请求添加“origin”头 现代浏览器在响应中寻找“Access Control Allow Origin”标头,如果没有此标头,则不处理响应正文 因此,服务器不需要使用CSRF令牌来保护使用现代浏览器的用户。 若不需要跨域请求,则服务器不需要CORS 换句话说,这些说法是真的吗 现代浏览器保护用户数据不受XSS攻击,如果不需要跨域请求,则无需在服务器端执行特殊操作 只有当需要允许某些受信任域执行跨域请求时,才需要服务器端的CORS 仅旧浏览器需要CSRF令牌

是真的吗

  • 现代浏览器向任何跨域请求添加“origin”头
  • 现代浏览器在响应中寻找“Access Control Allow Origin”标头,如果没有此标头,则不处理响应正文
因此,服务器不需要使用CSRF令牌来保护使用现代浏览器的用户。 若不需要跨域请求,则服务器不需要CORS

换句话说,这些说法是真的吗

  • 现代浏览器保护用户数据不受XSS攻击,如果不需要跨域请求,则无需在服务器端执行特殊操作
  • 只有当需要允许某些受信任域执行跨域请求时,才需要服务器端的CORS
  • 仅旧浏览器需要CSRF令牌
    • 您不应该依赖浏览器来提供安全性。只有在检查用户服务器端提供的输入时,您(几乎)才能保存。PHP已经有很多本机函数来实现这一点。