我刚刚了解了CORS,主要是因为我直到现在才需要它。
我已经读过CORS通过发送带有AJAX调用的HTTP标头来启用跨站点源,因此其他服务器可以评估该请求来自已批准的站点。
现在我主要担心的是,HTTP标头不能被欺骗吗?例如,攻击者不能将请求卷曲到其他服务器,发送我的CORS请求所做的确切HTTP头吗? 在这种情况下,服务器将接受请求,攻击者将检索服务器将发送给他的任何敏感数据。
我们都知道从页面检索javascript是多么容易,因此我用CORS发送的所有内容都可以通过敏锐的眼光轻松看到。包含HTTP标头。
所以,我认为敏感信息永远不应该在CORS通信中共享...... 还是我把这一切弄错了? 请轻松一点! :) 感谢
答案 0 :(得分:9)
现在我主要担心的是,HTTP标头不能被欺骗吗?例如,攻击者不能将请求卷曲到其他服务器,发送我的CORS请求所做的确切HTTP头吗?
你有两个误解。
同源政策的存在是为了阻止Mallory(邪恶)网站从Alice的网站获取数据,当Alice访问Mallory的网站时,要求Alice的浏览器请求它。
如果可能,那么Mallory可以获得任何应该是Alice和Bob之间共享秘密的信息(例如Alice在Bob银行网站上的账户余额)。
攻击者不能将请求卷曲到其他服务器,发送我的CORS请求的确切HTTP头吗?
由于Mallory无法知道请求中需要包含哪些安全凭证(例如,因为它们存储在Bob的网站的Alice的Cookie中):否。
但是CORS并不重要,但是cURL并没有实现同源策略,因为它不是运行由任意网站提供的JavaScript的浏览器。
我想绝不应该在CORS通信中共享敏感信息
这取决于信息的性质。
如果Alice 以及您在CORS标题中授权的任何网站被允许查看它,那么发送它就好了(尽管您应该使用SSL):只要您验证了Alice的身份。
如果只有Alice和你的网站应该看到它,那么不要在其上放置CORS标头(并且不提供任何其他方式绕过同源策略,例如JSON-P)。
如果Alice不应该看到它,那么你永远不应该将它发送到Alice的浏览器,CORS或没有CORS。