Javascript Cors错误配置
我正在研究Cors错误配置漏洞,但我不知道如何防止浏览器控制台窗口上的javascript发送请求。你能帮我吗 这是我的配置cors代码:Javascript Cors错误配置,javascript,php,html,cors,fetch-api,Javascript,Php,Html,Cors,Fetch Api,我正在研究Cors错误配置漏洞,但我不知道如何防止浏览器控制台窗口上的javascript发送请求。你能帮我吗 这是我的配置cors代码: <?php header("Content-Type: application/json"); $allowed_domains = [ 'https://www.google.com', 'https://www.google.com.vn', 'https
<?php
header("Content-Type: application/json");
$allowed_domains = [
'https://www.google.com',
'https://www.google.com.vn',
'https://google.com',
'http://127.0.0.1:8080',
];
header("Content-Type: application/json");
if(isset($_SERVER["HTTP_ORIGIN"])){
$origin = $_SERVER['HTTP_ORIGIN'];
if (in_array($origin, $allowed_domains)) {
header('Access-Control-Allow-Origin: ' . $origin);
}
}
$data = [
[
"name" => "Peter",
"age" => 99,
"occupation" => "unemployment"
]
];
echo json_encode($data, JSON_PRETTY_PRINT);
?>
我想通过这样的CORS信任关系来利用XSS
但我也可以在控制台浏览器上发送请求并获得响应。
我不知道如何防止这种情况。你能帮我吗