Entry № 250
CORS 配置错误
CORS 配置错误 是什么?
CORS 配置错误不安全的 CORS 策略允许不受信任的来源读取认证响应,常见手法是反射 Origin 头并返回 Access-Control-Allow-Credentials: true。
CORS 配置错误是指服务器实现跨域资源共享时实际上绕过了同源策略。常见错误包括将任意 Origin 反射到 Access-Control-Allow-Origin、允许 'null' 来源、通配符匹配子域,或将 Allow-Origin: * 与 Allow-Credentials: true 同时返回。攻击者在自己的页面上发起带凭据的跨域请求,由于响应可读,会话令牌、账户信息或 API 数据可能被外发。防御方法包括严格的来源白名单、拒绝 Origin 反射,以及不将凭据与宽松通配符组合使用。
● 示例
- 01
请求 Origin 为 attacker.com 时,服务器返回 Access-Control-Allow-Origin: https://attacker.com。
- 02
API 允许 Access-Control-Allow-Origin: null,可通过沙箱 iframe 触发。
● 常见问题
CORS 配置错误 是什么?
不安全的 CORS 策略允许不受信任的来源读取认证响应,常见手法是反射 Origin 头并返回 Access-Control-Allow-Credentials: true。 它属于网络安全的 攻击与威胁 分类。
CORS 配置错误 是什么意思?
不安全的 CORS 策略允许不受信任的来源读取认证响应,常见手法是反射 Origin 头并返回 Access-Control-Allow-Credentials: true。
如何防御 CORS 配置错误?
针对 CORS 配置错误 的防御通常结合技术控制与运营实践,详见上方完整定义。
CORS 配置错误 还有哪些其他名称?
常见的别称包括: 宽松 CORS。