跨源资源共享(CORS)

原创 已于 2024-11-16 13:11:24 修改 · 1.7k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CORS #网络安全 #web安全 #安全 #HTTP #PortSwigger 靶场 #CORS 漏洞

于 2024-06-17 08:57:55 首次发布

一、跨源资源共享(CORS)介绍

        跨源资源共享(Cross-Origin Resource Sharing,CORS)是一种web标准技术,它允许一个网站的服务器来响应其他网站的请求,从而打破了同源策略的限制。通过CORS,浏览器可以接收到服务器的响应,并查看该响应头部的"Access-Control-Allow-Origin"字段,如果该字段的值允许,或者是"*"(表示接受所有域),浏览器才会处理响应。通过CORS策略网站可以分享其资源,而不必担忧安全问题。

二、受到同源策略影响的一些操作

        AJAX请求:同源策略会阻止使用XMLHttpRequest或Fetch API发起的跨域请求。

        DOM访问:来自不同源的网站不能访问彼此的DOM。

        Cookie,LocalStorage和IndexedDB:JavaScript不能读取到其他网站的数据。

        但请注意,同源策略并非所有Web行为都有影响。例如,<img>元素、<script>元素和<link>元素等可以加载任何网站的资源,这是因为这些操作并不会访问到其他源的文档或脚本。

三、简单请求示例

        某些请求不会触发 CORS 预检请求。如:

        1、GET、HEAD、POST方法

        2、除了被用户代理自动设置的标头字段

        3、Content-Type 标头所指定的媒体类型的值仅限于下列三者之一:(text/plain、multipart/form-data、application/x-www-form-urlencoded)

        4、请求中没有使用 ReadableStream 对象

        假如站点 https://foo.example 的网页应用想要访问 https://bar.other 的资源。foo.example 的网页中可能包含类似于下面的 JavaScript 代码:

const xhr = new XMLHttpRequest();
const url = "https://bar.other/resources/public-data/";
xhr.open("GET", url);
xhr.onreadystatechange = someHandler;
xhr.send();

        浏览器发送给服务器的请求报文:

Copy to Clipboard
GET /resources/public-data/ HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Connection: keep-alive
Origin: https://foo.example

        服务器响应:

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 00:23:53 GMT
Server: Apache/2
Access-Control-Allow-Origin: *
Keep-Aliv
最低0.47元/天 解锁文章
资源共享CORS)策略
ZJQ的博客
07-23 409
CORS策略通过服务器配置的HTTP响应头来控制哪些域请求被允许。这既保护了网站资不被恶意访问,也允许了合法的域请求,从而促进了Web应用之间的数据共享和交互。在配置CORS策略时,需要权衡安全性和灵活性,避免过度开放资访问权限。
CORS资源共享)学习总结
m0_72030584的博客
03-20 1034
CORS资源共享)学习总结
资源共享CORS
weixin_45678402的博客
08-07 1605
CORS是一种基于HTTP头的机制,该机制通过允许服务器标示除了它自己以外的其他origin(域、协议和端口),这样浏览器可以访问加载这些资资源共享通过一种机制来检查服务器是否会允许要发送的真实请求;该机制通过浏览器发起一个到服务器托管的的**“预检”请求**; 在预检中,浏览器发送的头中标示有HTTP方法和真实请求中用到的头; CORS请求中分为简单请求和非简单请求: 简单请求: 不会触发CORS预检请求; 简单请求的条件: GET、HEAD、POST方法 Content-Type
Asp.net core 域配置
最新发布
qq_44967213的博客
10-10 438
CORSCross-Origin Resource Sharing资源共享)是一种由浏览器强制执行的安全机制,用于控制一个Origin)的网页是否可以访问另一个的资。同策略(Same-Origin Policy):浏览器默认禁止前端 JavaScript 向不同的服务器发起请求。CORS 是标准解决方案:后端通过响应头告诉浏览器:“我允许哪些前端域名来访问我”。✅ 举例:→ 这是域请求,必须配置 CORS,否则浏览器会拦截响应!关键点说明CORS 保护的是后端 API。
常见的Web漏洞——CORS
江左盟的博客
06-05 3267
渗透做了多年的朋友都知道,大洞小洞都是漏洞。因此也学习、沉淀一下以前没重视的漏洞CORS漏洞原理、检测和利用方法。
资源共享 CORS 详解
张erdan的博客
08-02 3056
CORS是一个W3C标准,全称是"资源共享"(Cross-origin resource sharing)。 它允许浏览器向服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同使用的限制。 本文详细介绍CORS的内部机制。 一、简介 CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器
Python-TheftFuzzer是一种工具可以模拟资源共享CORS实现中常见的错误配置
08-10
Python-TheftFuzzer 是一个专门针对资源共享Cross-Origin Resource Sharing,简称CORS)实现错误配置进行检测的工具。CORS 是一种Web安全机制,允许浏览器在某些情况下从不同加载资,以放宽同策略的限制...
Spring 设置资源共享(CORS)
谈谈1974
03-27 1798
文章目录背景1. Spring 解决方式:设置 CORS2. CORS 的前世今生2.1 CSRF 站请求伪造漏洞2.2 浏览器同策略的产生2.3 资源共享 CORS 的实现2.3.1 简单请求2.3.2 预检请求 背景 新起的项目需要前后端对接,联调时前端在浏览器窗口请求后端接口出现异常,浏览器控制台报出以下信息。由于当前主流的前后端分离架构,前端项目和后端项目通常不在同一个站点,所以在浏览器上很容易出现这个问题 has been blocked by CORS policy: No 'Acc
【JavaScript】CORS资源共享
好久不见的流星
02-25 2569
CORS是现代域解决方案的核心,通过在服务端设置响应头,实现了在浏览器中安全、可控地进行域请求。了解CORS的原理和使用步骤,对于处理域问题至关重要。在使用CORS时,注意设置合适的CORS头,处理带凭据的请求,以及对预检请求的正确响应。希望通过本篇博客,你对CORS有了更深入的了解,并能够在实际项目中应用这一现代域解决方案。
资源共享CORS
Delion
05-19 1193
资源共享 资源共享CORS)是一份浏览器技术的规范,提供了 Web 服务从不同网域传来沙盒脚本的方法,以避开浏览器的同策略[1],是 JSONP 模式的现代版。与 JSONP 不同,CORS 除了 GET 要求方法以外也支援其他的 HTTP 要求。用 CORS 可以让网页设计师用一般的 XMLHttpRequest,这种方式的错误处理比 JSO
CORS -- 资源共享(待补充)
HH_beibei的博客
01-10 366
例如,如果一个网站的资位于https://haha.com,那么它就不能发出对https://xixi.com的请求,除非xixi.com允许域请求。同限制指定Web服务器应该允许在网页上允许的脚本访问来自网页的(托管网页的服务器的域名、协议和端口号)的数据,但应阻止脚本访问来自不同的数据。如果服务器允许这个请求,他会发送一个状态码为200的响应,并在响应中发送Access-Control-Request-Method头,表示允许的方法列表。如果我们的请求是非同的,将会受到以下限制。
什么是 CORS资源共享)?
qq_38822390的博客
02-09 428
CORS 提供了一种灵活的方式来安全地共享资,同时保护用户数据不被恶意网站访问。正确配置 CORS 是确保 Web 应用安全的关键步骤。
资源共享CORS)问题与解决方案
Java领域优秀创作者
06-12 4194
资源共享CORSCross-Origin Resource Sharing)是现代web开发中常见且重要的一个概念。它涉及到浏览器的同策略(Same-Origin Policy),该策略用于防止恶意网站从不同来窃取数据。然而,在实际开发中,我们经常需要与不同的资进行交互,这就引发了域问题。本文将详细讨论域问题的产生原因、工作流程以及在Spring Boot后端和Axios前端环境中解决域问题的方法。
CORS(资源共享)
IT新技术
05-02 901
目前为止,在Web应用程序中,可以通过使用JSON-P(基于安全因素的考虑而被受限使用)或设置一个自定义代理(安装与维护比较麻烦)的方法来实现域请求。 CORS(Cross-Origin Resource Sharing,资源共享)是W3C小组制定的一个标准,它允许浏览器实现域通信。通过建立一个XmlHttpRequest对象,CORS允许开发者象实现同请求那样实现请求。 COR
资源共享
weixin_44019875的博客
07-20 279
Cors 资源共享资源共享)是一种基于HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),这样浏览器可以访问加载这些资资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的的"预检"请求。在预检中,浏览器发送的头中标示有HTTP方法和真实请求中会用到的头 一些非简单请求方法(get/head/post)都需要一个预检请求option 来确定服务器是否可以发送请求。服务器也可以通过预检请求
spring boot资源共享CORS)策略
03-16
### Spring Boot 中实现 CORS 配置示例 在现代 Web 开发中,资源共享CORS)是一个常见的需求。Spring Boot 提供了多种方法来配置 CORS 支持,以下是几种常见的方式。 #### 方法一:通过 `application.properties` 或 `application.yml` 文件配置 可以通过在应用程序的配置文件中添加相应的属性来启用 CORS 支持。这种方式适用于简单的场景[^2]: 对于 `application.properties`: ```properties spring.mvc.cors.enabled=true spring.mvc.cors.mapping=/** spring.mvc.cors.allowed-origins=http://localhost:8080 spring.mvc.cors.allowed-methods=GET,POST,PUT,DELETE spring.mvc.cors.allowed-headers=Content-Type,Authorization ``` 或者使用 `application.yml`: ```yaml spring: mvc: cors: enabled: true mapping: /** allowed-origins: http://localhost:8080 allowed-methods: GET, POST, PUT, DELETE allowed-headers: Content-Type, Authorization ``` 这种方法适合全局范围内的 CORS 设置,并且不需要额外的 Java 配置类。 --- #### 方法二:通过自定义 `WebMvcConfigurer` Bean 配置 如果需要更灵活的控制,可以创建一个 `WebMvcConfigurer` 类并重写其 `addCorsMappings` 方法[^3]: ```java @Configuration public class CorsConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") // 对所有路径生效 .allowedOrigins("http://localhost:8080") // 允许的域名 .allowedMethods("GET", "POST", "PUT", "DELETE") // 允许的方法 .allowedHeaders("Content-Type", "Authorization"); // 允许的头部字段 } }; } } ``` 此方法允许开发者针对特定 URL 路径设置不同的 CORS 策略。 --- #### 方法三:使用 `@CrossOrigin` 注解 另一种方式是在控制器或方法级别使用 `@CrossOrigin` 注解来指定允许的来[^4]: ```java @RestController @RequestMapping("/api") public class MyController { @GetMapping("/data") @CrossOrigin(origins = "http://localhost:8080", methods = RequestMethod.GET) public ResponseEntity<String> getData() { return ResponseEntity.ok("Data from server"); } } ``` 这种细粒度的配置非常适合某些接口需要特殊 CORS 处理的情况。 --- #### 方法四:通过 Filter 过滤器实现 当需要更加复杂的逻辑时,可以选择编写自定义过滤器: ```java @Component public class CustomCorsFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) res; HttpServletRequest request = (HttpServletRequest) req; response.setHeader("Access-Control-Allow-Origin", "http://localhost:8080"); response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization"); if ("OPTIONS".equalsIgnoreCase(request.getMethod())) { response.setStatus(HttpServletResponse.SC_OK); } else { chain.doFilter(req, res); } } @Override public void init(FilterConfig filterConfig) {} @Override public void destroy() {} } ``` 这种方式提供了最大的灵活性,但也增加了复杂性。 --- ### 总结 以上介绍了四种在 Spring Boot 中实现 CORS 的方法,分别是通过配置文件、`WebMvcConfigurer`、`@CrossOrigin` 注解以及自定义过滤器。每种方法都有其适用场景,可以根据实际需求选择合适的方案[^5]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值