本文介绍了CORS跨源资源共享的漏洞原理,通过实例展示了如何利用CORS漏洞获取用户信息,并详细说明了防御措施,强调了正确配置Access-Control-Allow的重要性。
漏洞介绍
CORS(Cross-Origin Resource Sharing)即跨源资源共享,CORS是W3C出的一个标准,其思想是使用自定义的HTTP头部让浏览器与服务器进行沟通,因为开发者需要通过跨域获取资源
漏洞实战
这里通过DoraBox中的CORS模块进行一次简易的实践演示:
代码分析
首先查看一下cors设计代码,从下面可以看到"Access-Control-Allow:*"这个CORS配置:
然后访问一下该页面可以从下面的页面查看到有用户的个人信息:
漏洞利用
下面构造CORS.html页面来读取信息:
<!DOCTYPE html>
<html>
<body>
<div id="demo">
<button
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
