首頁猿問設(shè)置訪問控制允許來源有哪些安全隱患？

設(shè)置訪問控制允許來源有哪些安全隱患？

安全

躍然一笑 2019-10-10 15:49:09

我最近不得不設(shè)置Access-Control-Allow-Origin為*，以便能夠進(jìn)行跨子域的ajax調(diào)用?，F(xiàn)在，我不禁感到自己正在使環(huán)境面臨安全風(fēng)險(xiǎn)。如果我做錯(cuò)了，請幫助我。

查看完整描述

3 回答

瀟瀟雨雨

TA貢獻(xiàn)1833條經(jīng)驗(yàn) 獲得超4個(gè)贊

通過使用響應(yīng)Access-Control-Allow-Origin: *，所請求的資源允許與每個(gè)來源共享?；旧希@意味著任何站點(diǎn)都可以向您的站點(diǎn)發(fā)送XHR請求并訪問服務(wù)器的響應(yīng)，如果您尚未實(shí)現(xiàn)此CORS響應(yīng)，則不會(huì)這樣。

因此，任何站點(diǎn)都可以代表其訪問者向您的站點(diǎn)發(fā)出請求并處理其響應(yīng)。如果您基于瀏覽器自動(dòng)提供的內(nèi)容（例如cookie，基于cookie的會(huì)話等）實(shí)施了諸如身份驗(yàn)證或授權(quán)方案之類的內(nèi)容，則由第三方站點(diǎn)觸發(fā)的請求也將使用它們。

這確實(shí)帶來了安全風(fēng)險(xiǎn)，尤其是如果您不僅允許共享所選資源，還允許共享每個(gè)資源的資源，則尤其如此。在這種情況下，您應(yīng)該看看何時(shí)可以安全啟用CORS？。

反對回復(fù) 2019-10-10