apache - 对 apache 的“Access-Control-Allow-Origin”标头感到困惑
问题描述
假设我的网站名为 SiteA.com 在 Apache Web 服务器上运行。我已经定义了ff。在我的 httpd.conf 文件下面:
Header set Access-Control-Allow-Origin "CustomBank.com"
问题:
这是否意味着只有 CustomBank.com 可以直接访问我的网站 (SiteA.com)?还是意味着只有我的网站 (SiteA.com) 可以直接访问 CustomBank.com 域?如果此设置用于入站或出站,我感到困惑。
实际上,我的站点不需要任何 CORS 要求,因此我没有实现上述设置,下面的设置显示在我的响应标头中。
访问控制允许来源:*
渗透测试团队表示此设置过于宽松。我只需要删除它吗?如果不是我该怎么办?
解决方案
这意味着从 CustomBank.com 加载的 javascript 可以在后台通过 XMLHTPRequest 向您的站点(配置已更改的站点)发出请求。
由于 XMLHTTPRequest 将向用户发送与您网站的现有会话 cookie,恶意脚本可能会代表您的用户执行各种恶意/误导性的事情。这就是为什么 * 通常不是一个合适的修复方法。
这些限制适用于其他更深奥的类似脚本的调用,您可以在规范中阅读。
推荐阅读
- c# - 我在数据集中有两个数据表。我通常登录和退出。当我回去时,其中一个数据表是空的
- reactjs - 如何解决 Reactstrap Navbar 代码问题
- c - 使用 C 将键盘键向右移动 2 位的方法
- java - 多次打印到文件缓冲阅读器java
- ios - 使用 NSFetchedResultsController 在 UITableView 中插入/删除
- javascript - 在插入之前执行获取数据
- amazon-web-services - Terraform - 加载模块时出错 - 没有这样的文件或目录(文件夹重命名后)
- ios - 自定义 Tableview 幻灯片动作
- webdriver-io - 在 webdriverIO 中的 @Wdio 中的 Allure 报告干净
- c# - Xamarin 表单提高构建和部署速度?