为了账号安全,请及时绑定邮箱和手机立即绑定

设置访问控制允许来源有哪些安全隐患?

/ 猿问

设置访问控制允许来源有哪些安全隐患?

跃然一笑 2019-10-10 15:49:09

我最近不得不设置Access-Control-Allow-Origin*,以便能够进行跨子域的ajax调用。
现在,我不禁感到自己正在使环境面临安全风险。
如果我做错了,请帮助我。

查看完整描述

3 回答

?
潇潇雨雨

通过使用响应Access-Control-Allow-Origin: *,所请求的资源允许与每个来源共享。基本上,这意味着任何站点都可以向您的站点发送XHR请求并访问服务器的响应,如果您尚未实现此CORS响应,则不会这样。


因此,任何站点都可以代表其访问者向您的站点发出请求并处理其响应。如果您基于浏览器自动提供的内容(例如cookie,基于cookie的会话等)实施了诸如身份验证或授权方案之类的内容,则由第三方站点触发的请求也将使用它们。


这确实带来了安全风险,尤其是如果您不仅允许共享所选资源,还允许共享每个资源的资源,则尤其如此。在这种情况下,您应该看看何时可以安全启用CORS?。


查看完整回答
反对 回复 2019-10-10
  • 3 回答
  • 0 关注
  • 170 浏览
我要回答

添加回答

回复

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信