CORS 配置错误
CORS 配置错误 是什么?
CORS 配置错误不安全的 CORS 策略允许不受信任的来源读取认证响应,常见手法是反射 Origin 头并返回 Access-Control-Allow-Credentials: true。
CORS 配置错误是指服务器实现跨域资源共享时实际上绕过了同源策略。常见错误包括将任意 Origin 反射到 Access-Control-Allow-Origin、允许 'null' 来源、通配符匹配子域,或将 Allow-Origin: * 与 Allow-Credentials: true 同时返回。攻击者在自己的页面上发起带凭据的跨域请求,由于响应可读,会话令牌、账户信息或 API 数据可能被外发。防御方法包括严格的来源白名单、拒绝 Origin 反射,以及不将凭据与宽松通配符组合使用。
● 示例
- 01
请求 Origin 为 attacker.com 时,服务器返回 Access-Control-Allow-Origin: https://attacker.com。
- 02
API 允许 Access-Control-Allow-Origin: null,可通过沙箱 iframe 触发。
● 常见问题
CORS 配置错误 是什么?
不安全的 CORS 策略允许不受信任的来源读取认证响应,常见手法是反射 Origin 头并返回 Access-Control-Allow-Credentials: true。 它属于网络安全的 攻击与威胁 分类。
CORS 配置错误 是什么意思?
不安全的 CORS 策略允许不受信任的来源读取认证响应,常见手法是反射 Origin 头并返回 Access-Control-Allow-Credentials: true。
CORS 配置错误 是如何工作的?
CORS 配置错误是指服务器实现跨域资源共享时实际上绕过了同源策略。常见错误包括将任意 Origin 反射到 Access-Control-Allow-Origin、允许 'null' 来源、通配符匹配子域,或将 Allow-Origin: * 与 Allow-Credentials: true 同时返回。攻击者在自己的页面上发起带凭据的跨域请求,由于响应可读,会话令牌、账户信息或 API 数据可能被外发。防御方法包括严格的来源白名单、拒绝 Origin 反射,以及不将凭据与宽松通配符组合使用。
如何防御 CORS 配置错误?
针对 CORS 配置错误 的防御通常结合技术控制与运营实践,详见上方完整定义。
CORS 配置错误 还有哪些其他名称?
常见的别称包括: 宽松 CORS。
● 相关术语
- appsec№ 223
CORS(跨源资源共享)
由浏览器强制执行的机制,允许服务器有选择地放宽同源策略,使一个源上的 JavaScript 可以读取另一个源的响应。
- appsec№ 960
同源策略 (SOP)
浏览器的安全规则,限制来自一个源的文档或脚本如何与来自不同源的资源交互。
- attacks№ 240
跨站脚本(XSS)
一种 Web 漏洞,攻击者可在其他用户浏览的页面中注入恶意脚本,使其在受害者浏览器中以该站点的来源身份运行。
- attacks№ 239
跨站请求伪造(CSRF)
一种 Web 攻击,迫使已认证用户的浏览器向存在漏洞的站点发送非预期请求,在用户毫不知情的情况下执行状态变更操作。
- appsec№ 961
SameSite Cookie
控制浏览器在跨站请求中是否携带 Cookie 的属性,取值为 Strict、Lax、None,主要用于缓解 CSRF。
- attacks№ 1016
会话劫持
通过窃取或伪造会话标识符,接管受害者已认证的会话,使攻击者无需密码即可冒充其身份的攻击。
● 参见
- № 566JSONP 漏洞