作者:浪漫族屋nr | 来源:互联网 | 2023-02-01 12:41
我目前正在为我们所有的域(scripts.domain.com)开发一个中央AJAX脚本库。
我有以下PHP代码,从理论上讲,它可以很好地防止CORS的错误请求。
$valid_cors = array("domain1","domain2","domain3");
if(in_array($_SERVER['HTTP_ORIGIN'],"https://".$valid_cors)) {
header('Access-Control-Allow-Origin: https://{$valid_cors}', false);
header("Access-Control-Allow-Methods: GET, POST, PUT");
header("Access-Control-Allow-Headers: Content-Type");
}
我敢打赌,您甚至可以在阅读之前就猜出我收到的消息。对于那些无法做到的人来说,这是以下几方面的事情:
XMLHttpRequest无法加载
https://scripts.domain.com/scripts/ajax_caller.json?。所请求的资源上没有“ Access-Control-Allow-Origin”标头。因此,不允许访问源“ https:// domain1 ”。
在阅读了这里的一些问题之后,据我了解,大多数浏览器甚至都没有发送HTTP_ORIGIN标头,因此,基本上整个ACAO系统都是毫无意义的,因为您必须将Allow-Origin标记为星号以允许多个域来调用它。您也不能放置多个AO标头,因为如果有多个AO标头,浏览器将完全阻止该请求。
到目前为止,我们都知道-不信任浏览器向您发送的任何内容,因为它很容易被伪造,那么为什么甚至认为它已经实现呢?
使用星号系统对我来说并不奇怪,因为我们会在调用任何动作文件之前检查CSRF和会话在执行时是否进行检查,但是对于大多数用户而言,这可能会带来更大的危害,而不是使它们陷入错误的安全感。 。
拜托,有人可以告诉我,我在这里用了错误的杆端并且我用错了吗?似乎没有多少人可以给答案栏加上星号,这使我更加相信这是唯一的方法。
1> Brad..:
在阅读了这里的一些问题之后,据我了解,大多数浏览器甚至没有发送HTTP_ORIGIN标头
好吧,那不是真的。任何支持CORS的东西都支持发送Origin
请求标头。
因为您必须将“允许来源”作为星号,以允许多个域调用它
不,那也不是真的。您的服务器可以根据不同的来源做出不同的响应。
例如,如果有一个请求Origin: a.example.com
,那么您可以用进行响应Access-Control-Allow-Origin: a.example.com
。
如果有要求Origin: b.example.com
,您会回应Access-Control-Allow-Origin: b.example.com
。
到目前为止,我们都知道-不信任浏览器向您发送的任何内容,因为它很容易被伪造,那么为什么甚至认为它已经实现呢?
CORS并非用于保护服务器资源。它用于隔离客户端访问。
如您所知,网页可以包含来自多个来源的数据。我们一直使用图像,脚本等来执行此操作。但是,这仅允许我们查看来自多个来源的内容。它不允许来自多个源的脚本查看彼此的数据。
假设情况并非如此……并且您可以发出跨域AJAX请求。假设我有一个关于投资建议的热门博客。我知道阅读我的博客的人最近也可能登录了他们的经纪网站。我可以在我的博客站点上安装一个脚本,该脚本触发AJAX对经纪站点的请求以进行交易。原因是现在我在发出请求,而不是用户发出请求,但是带有他们的COOKIE。我可以假装他们甚至不知道他们!可怕的东西。
在一个更常见的示例中,许多家用路由器都有带有默认凭据的管理面板。这些路由器中的许多路由器也没有使用正确的HTTP动词...因此GET请求可用于执行诸如打开端口之类的操作。这些路由器仍然注定要失败,因为我可以使用简单的图像标签发出GET请求。像这样:
(当然,“图像”将无法加载,但是浏览器将发出请求,而路由器将遵守该请求。)
如果路由器使用正确的动词,例如PUT
或POST
,则不可能通过简单的图像标签进行此更改。但是如果没有CORS,页面可能会使用PUT
或发出AJAX请求POST
,从而在您不知情的情况下控制您的家用路由器!基本上,将您的机器用作运行特权脚本的地方。
以这种方式阻止对资源的跨域访问有助于确保特权访问的安全。