我在理解 CORS 概念时遇到问题......
在我看来,同源策略可以保护应用程序免于对“不受信任的域”进行 ajax 调用。因此,mydomain.com对somedomain.com进行 ajax 调用,并且不会检索资源 JSON/Script。
我认为这是为了在发现某些 XSS 漏洞并且有人使用该标签将该代码放入您的页面内容中并且现在可以对其他域进行 ajax 调用时保护 Web 应用程序。- 我对吗?
如果我是对的,那么 CORS 不会提供任何保护,因为服务器策略规定,如果来自mydomain.com的请求到达somedomain.com,则应该允许该请求。现在,如果我进行攻击,我将添加我的脚本,并在我的服务器中设置 CORS 策略以允许这些请求。据我所知,CORS 可以完全绕过同源策略
:|
更新:
阅读更多内容后,我发现答案声称 CORS 不是为了保护mydomain.com应用程序,而是为了保护somedomain.com。假设 somedomain.com 是您的银行,提供用于进行银行转账的 API。银行将允许来自已加载应用程序的浏览器(同一域)的 API 调用。在他们的 CORS 政策中,他们可以说来自mydomain.com 的脚本可以调用他们的 API。请注意,客户端的浏览器可以设置银行的 cookie,从而使银行容易受到来自mydomain.com的脚本的攻击
| 归档时间: |
|
| 查看次数: |
614 次 |
| 最近记录: |