Неправильная настройка CORS
Что такое Неправильная настройка CORS?
Неправильная настройка CORSНебезопасная CORS-политика, позволяющая недоверенным источникам читать аутентифицированные ответы, обычно через отражение Origin и Allow-Credentials: true.
Неправильная настройка CORS возникает, когда сервер реализует Cross-Origin Resource Sharing так, что фактически обходит политику одного источника. Типичные ошибки — отражение любого Origin в Access-Control-Allow-Origin, разрешение 'null', шаблоны субдоменов, сочетание Allow-Origin: * и Allow-Credentials: true. Атакующий размещает страницу, отправляющую аутентифицированные межсайтовые запросы; так как ответ доступен для чтения, можно похитить сессионные токены, данные аккаунта или ответы API. Защита включает строгий список доверенных источников, запрет на отражение Origin и отказ от сочетания учётных данных с шаблонами.
● Примеры
- 01
Сервер возвращает Access-Control-Allow-Origin: https://attacker.com при заголовке Origin attacker.com.
- 02
API разрешает Access-Control-Allow-Origin: null, вызываемый из sandboxed iframe.
● Частые вопросы
Что такое Неправильная настройка CORS?
Небезопасная CORS-политика, позволяющая недоверенным источникам читать аутентифицированные ответы, обычно через отражение Origin и Allow-Credentials: true. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Неправильная настройка CORS?
Небезопасная CORS-политика, позволяющая недоверенным источникам читать аутентифицированные ответы, обычно через отражение Origin и Allow-Credentials: true.
Как защититься от Неправильная настройка CORS?
Защита от Неправильная настройка CORS обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Неправильная настройка CORS?
Распространённые альтернативные названия: Слабая CORS-политика.