那些遇到过的问题

OWASP CORS建议中的矛盾

occ*_*asl 4 owasp cors

我很困惑地看到CORS 的OWASP网站备忘单上的这个矛盾:

  • 使用Access-Control-Allow-Credentials时要特别小心:true响应标头.将允许的Origins列入白名单,并且永远不回显 Access-Control-Allow-Origin中的Origin请求标头.
  • 在Access-Control-Allow-Origin标头中仅允许选定的受信任域.优先将域列入黑名单或允许任何域(通过*通配符或回显Origin头内容).

有很多信息浮出水面,您应该回显Origin请求标头,这样我就无法想象除了使用*通配符的公共API之外没有这样做的原因.我的观点是,如果您按照此处的建议将原始域列入白名单,那么您可以防止欺骗Origin标头.我错过了什么吗?这只是该备忘单上的拼写错误吗?

mon*_*sur 5

我认为第二条建议的措辞很差.他们都说你应该避免回头Origin.通过"回显",我认为它们意味着盲目地将Origin标题的值放在标题中Access-Control-Allow-Origin,而不进行任何中间检查(例如白名单).另请注意,这些是建议而非绝对规则,应根据您的需要进行解释.API越开放和公开,*值就越可接受.

归档时间:

查看次数:

1018 次

最近记录:

6 年 前
相关归档
如何在 ASP.NET Core 6.0 Web API 项目中启用 cors? 31
CORS过滤器Tomcat 7无效 9
使用来自子域的请求发送 cookie 8
JQuery CORS和重定向 7
Cordova iOS错误:Access-Control-Allow-Origin不允许使用Origin null 7
XMLHttpRequest-SEC7127:CORS请求的重定向被阻止 5
WSO2 API Manager CORS 5
什么可以防止覆盖服务器中的 Access-Control-Allow-Origin? 5
获取 - 响应预检响应 4
如何在Phoenix中设置字体的CORS头? 2
难疑归档
让现有的Git分支跟踪一个远程分支? 3437
将现有的,未提交的工作移动到Git中的新分支 2982
如何使用Maven创建具有依赖关系的可执行JAR? 2276
在Python中手动引发(抛出)异常 2079
O(log n)究竟意味着什么? 2021
如何从文件内容创建Java字符串? 1440
为什么我需要一直做`--set-upstream`? 1364
如何使用INER JOIN与SQL Server删除? 1181
在Python中检查类型的规范方法是什么? 1171
按列名从pandas DataFrame中删除列 1136