Javascript 关于CORS的安全问题
我刚刚了解了CORS,基本上是因为我直到现在才需要它 我已经读到CORS通过发送带有AJAX调用的HTTP头来启用跨站点源,这样其他服务器就可以评估来自已批准站点的请求 现在我主要关心的是,HTTP头不能被欺骗吗?例如,攻击者不能将请求卷曲到另一台服务器,发送与我的CORS请求完全相同的HTTP头吗? 在这种情况下,服务器将接受请求,攻击者将检索服务器发送给他的任何敏感数据 我们都知道从页面检索javascript是多么容易,所以我用CORS发送的所有内容都可以被敏锐的眼睛看到。包括HTTP头 所以,我猜敏感信息不应该在CORS通信中共享。。。 还是我把一切都搞错了? 请给我点光!:) 谢谢 现在我主要关心的是,HTTP头不能被欺骗吗?例如,攻击者不能将请求卷曲到另一台服务器,发送与我的CORS请求完全相同的HTTP头吗 你有两个误解Javascript 关于CORS的安全问题,javascript,php,ajax,security,cors,Javascript,Php,Ajax,Security,Cors,我刚刚了解了CORS,基本上是因为我直到现在才需要它 我已经读到CORS通过发送带有AJAX调用的HTTP头来启用跨站点源,这样其他服务器就可以评估来自已批准站点的请求 现在我主要关心的是,HTTP头不能被欺骗吗?例如,攻击者不能将请求卷曲到另一台服务器,发送与我的CORS请求完全相同的HTTP头吗? 在这种情况下,服务器将接受请求,攻击者将检索服务器发送给他的任何敏感数据 我们都知道从页面检索javascript是多么容易,所以我用CORS发送的所有内容都可以被敏锐的眼睛看到。包括HTTP头
如果Alice不应该看到它,那么您永远不应该将它发送到Alice的浏览器,CORS或no CORS。是的,我说的是飞行前选项请求。无论如何,根据您的回答,Mallory向Bob发出CORS请求不需要知道安全凭据(如cookies、会话等)?至于curl,当然CORS并不重要,我只是举了一个例子,任何人都可以轻松地“模仿”CORS请求。请求所能做的所有选项就是告诉Mallory在请求中可以使用哪些头。这些信息(在CORS的上下文中)没有用处,因为cURL一开始并没有实现同源策略,所以如果包含“错误”的头,则没有任何东西可以阻止后续请求被发送。好的,谢谢!基于您的回答和我想做的,我可以实现我的想法,没有任何安全风险,也没有攻击者模仿CORS行为的风险。如果我需要更多关于这个问题的澄清,我会让你知道的。再次感谢!