国产av日韩一区二区三区精品,成人性爱视频在线观看,国产,欧美,日韩,一区,www.成色av久久成人,2222eeee成人天堂

javascript - 請教CORS安全性的問題
給我你的懷抱
給我你的懷抱 2017-05-19 10:42:05
0
2
987

面試的時候被問到CORS安全性問題,沒答上來,想請教下大家。
CORS在服務(wù)器端設(shè)置了Access-Control-Allow-Origin,不設(shè)定為*,不是只有指定的域才能發(fā)起請求嗎,否則就被瀏覽器攔截了呀,有看到說http頭可以偽造,但是手動設(shè)置Origin也會被瀏覽器阻止,請問CORS的漏洞到底在哪兒?有什么解決方案?謝謝

給我你的懷抱
給我你的懷抱

全部回復(fù)(2)
巴扎黑

https://developer.mozilla.org...瀏覽器兼容性

小葫蘆

我反而覺得CORS相交于JSONP是較為安全的跨域方式,也是標(biāo)準(zhǔn)的跨域方式。

Access-Control-Allow-Origin就是一個允許請求的域白名單,只有是這個域里有的,服務(wù)器才會統(tǒng)一跨域請求,如果合理的設(shè)置白名單,反而可以避免CSRF攻擊。

我覺得這個問題可能是要求你從如果Access-Control-Allow-Origin為*所面臨的問題考慮吧。

設(shè)置成*的一般是公共的API,為了避免被頻繁請求或DDOS,一般會多出密鑰驗證的步驟,并且限制請求頻率和次數(shù)。

還有就是CORS雖然默認不傳Cookie,但Access-Control-Allow-Credentials設(shè)為true就能允許,這樣也可能會有CSRF攻擊的風(fēng)險。

最新下載
更多>
網(wǎng)站特效
網(wǎng)站源碼
網(wǎng)站素材
前端模板