首頁(yè) 猿問當(dāng)域“A”...

當(dāng)域“A”包含來自域“B”的圖像時(shí)，不會(huì)出現(xiàn)登錄彈出窗口。圖像位于受基本 http auth

PHP

茅侃侃 2022-07-02 16:19:12

域“A”包括來自域“B”的圖像<img src="https://DOMAIN_B/basic-auth/protected_image/secure.jpg">域“B”具有基本的 HTTP 身份驗(yàn)證。<?php header("HTTP/1.1 401 Unauthorized"); header("WWW-Authenticate: Basic realm='Please login'"); exit;?>我的問題是為什么域“A”上沒有出現(xiàn)登錄彈出窗口。Chrome 給出錯(cuò)誤“401 未授權(quán)”。但從技術(shù)上講，瀏覽器應(yīng)該會(huì)在域“A”上彈出登錄顯示。另一方面，本地和https://jsfiddle.net/w493nnp9/18/一切正常。您可以訪問此鏈接，頁(yè)面顯示登錄彈出窗口。但是為什么其他域不顯示。 https://jsfiddle.net/w493nnp9/18/

查看完整描述

2 回答

Helenr

TA貢獻(xiàn)1780條經(jīng)驗(yàn) 獲得超4個(gè)贊

如果它顯示登錄表單，那將是對(duì)站點(diǎn) B 的潛在 CSRF 攻擊。

讓我們假設(shè)用戶重復(fù)使用他們的密碼，這不是一個(gè)強(qiáng)有力的假設(shè)，很多人都這樣做。如果站點(diǎn) A 包含來自基本身份驗(yàn)證站點(diǎn) B 的圖像，則用戶會(huì)認(rèn)為站點(diǎn) A 正在請(qǐng)求他們的密碼。如果它與站點(diǎn) B 上的相同，他們將登錄到站點(diǎn) B 而沒有任何意圖。從那時(shí)起，由于基本的身份驗(yàn)證信息一直持續(xù)到瀏覽器關(guān)閉，站點(diǎn) A 可以對(duì)站點(diǎn) B 執(zhí)行常規(guī) CSRF（當(dāng)然，除非有保護(hù)，應(yīng)該有，因?yàn)橛脩粢部赡芄室獾卿浀?B ）。

即使在站點(diǎn) B 上有進(jìn)一步的 CSRF 保護(hù)，如果在您的場(chǎng)景中顯示登錄彈出窗口，它也會(huì)使 http 基本身份驗(yàn)證天生容易受到登錄 csrf 的攻擊。

反對(duì) 回復(fù) 2022-07-02

HUH函數(shù)

TA貢獻(xiàn)1836條經(jīng)驗(yàn) 獲得超4個(gè)贊

登錄彈出窗口不顯示在<img>標(biāo)簽中，彈出窗口將顯示在<iframe>示例中：<iframe src="https://httpbin.org/basic-auth/user/passwd">

為什么其他域不起作用？這是因?yàn)槠渌蚓哂小翱缬颉辈呗裕ú榭错憫?yīng)標(biāo)頭）。

例如：您提供的鏈接“ https://httpbin.org/basic-auth/user/passwd ”，有Access-Control-Allow-Origin：*這里*表示這個(gè)域允許每個(gè)人獲取數(shù)據(jù)。檢查您的域“B”標(biāo)頭響應(yīng)是否具有“Access-Control-Allow-Origin”。

基本上域“B”需要有 header =“Access-Control-Allow-Origin:*”，才能工作。

反對(duì) 回復(fù) 2022-07-02