CORS保护：HTTP_ORIGIN的意义是什么

我目前正在为我们所有的域（scripts.domain.com）开发一个中央AJAX脚本库。

我有以下PHP代码，从理论上讲，它可以很好地防止CORS的错误请求。

$valid_cors = array("domain1","domain2","domain3");
if(in_array($_SERVER['HTTP_ORIGIN'],"https://".$valid_cors)) {
    header('Access-Control-Allow-Origin: https://{$valid_cors}', false);
    header("Access-Control-Allow-Methods: GET, POST, PUT");
    header("Access-Control-Allow-Headers: Content-Type");
}

我敢打赌，您甚至可以在阅读之前就猜出我收到的消息。对于那些无法做到的人来说，这是以下几方面的事情：

XMLHttpRequest无法加载 https://scripts.domain.com/scripts/ajax_caller.json？。所请求的资源上没有“ Access-Control-Allow-Origin”标头。因此，不允许访问源“ https：// domain1 ”。

在阅读了这里的一些问题之后，据我了解，大多数浏览器甚至都没有发送HTTP_ORIGIN标头，因此，基本上整个ACAO系统都是毫无意义的，因为您必须将Allow-Origin标记为星号以允许多个域来调用它。您也不能放置多个AO标头，因为如果有多个AO标头，浏览器将完全阻止该请求。

到目前为止，我们都知道-不信任浏览器向您发送的任何内容，因为它很容易被伪造，那么为什么甚至认为它已经实现呢？

使用星号系统对我来说并不奇怪，因为我们会在调用任何动作文件之前检查CSRF和会话在执行时是否进行检查，但是对于大多数用户而言，这可能会带来更大的危害，而不是使它们陷入错误的安全感。 。

拜托，有人可以告诉我，我在这里用了错误的杆端并且我用错了吗？似乎没有多少人可以给答案栏加上星号，这使我更加相信这是唯一的方法。

在阅读了这里的一些问题之后，据我了解，大多数浏览器甚至没有发送HTTP_ORIGIN标头

好吧，那不是真的。任何支持CORS的东西都支持发送Origin请求标头。

因为您必须将“允许来源”作为星号，以允许多个域调用它

不，那也不是真的。您的服务器可以根据不同的来源做出不同的响应。

例如，如果有一个请求Origin: a.example.com，那么您可以用进行响应Access-Control-Allow-Origin: a.example.com。

如果有要求Origin: b.example.com，您会回应Access-Control-Allow-Origin: b.example.com。

到目前为止，我们都知道-不信任浏览器向您发送的任何内容，因为它很容易被伪造，那么为什么甚至认为它已经实现呢？

CORS并非用于保护服务器资源。它用于隔离客户端访问。

如您所知，网页可以包含来自多个来源的数据。我们一直使用图像，脚本等来执行此操作。但是，这仅允许我们查看来自多个来源的内容。它不允许来自多个源的脚本查看彼此的数据。

假设情况并非如此……并且您可以发出跨域AJAX请求。假设我有一个关于投资建议的热门博客。我知道阅读我的博客的人最近也可能登录了他们的经纪网站。我可以在我的博客站点上安装一个脚本，该脚本触发AJAX对经纪站点的请求以进行交易。原因是现在我在发出请求，而不是用户发出请求，但是带有他们的COOKIE。我可以假装他们甚至不知道他们！可怕的东西。

在一个更常见的示例中，许多家用路由器都有带有默认凭据的管理面板。这些路由器中的许多路由器也没有使用正确的HTTP动词...因此GET请求可用于执行诸如打开端口之类的操作。这些路由器仍然注定要失败，因为我可以使用简单的图像标签发出GET请求。像这样：

（当然，“图像”将无法加载，但是浏览器将发出请求，而路由器将遵守该请求。）

如果路由器使用正确的动词，例如PUT或POST，则不可能通过简单的图像标签进行此更改。但是如果没有CORS，页面可能会使用PUT或发出AJAX请求POST，从而在您不知情的情况下控制您的家用路由器！基本上，将您的机器用作运行特权脚本的地方。

以这种方式阻止对资源的跨域访问有助于确保特权访问的安全。