Sono necessarie politiche restrittive per le stesse origini?

Question

Sono necessarie politiche restrittive per le stesse origini?

#1 da (5 voti)

5

La domanda è rivolta alla comunità della sicurezza per risolvere alcuni fraintendimenti qui .

Il punto cruciale:

La società (Wire) ha un cliente (official-client.com) e un codice server (ad esempio official-server.com).
CORS attualmente consente a official-client.com di accedere a official-server.com, ma unofficial-client.com non ha accesso a official-server.com
Il codice per il client ufficiale è disponibile per il riutilizzo per applicazioni personalizzate (presumibilmente, per ospitare su non ufficiale-client.com)

Il caso d'uso qui è semplice: esporre i servizi API auth protected agli altri. E la definizione di "altri" è attualmente impostata solo su "official-client.com".

Domanda: Che vantaggio c'è nel non aver?

Access-Control-Allow-Origin: *

Per citare un altro articolo , sembra che l'app non sia altrettanto sicura se si basa sulla sua sicurezza limitando l'accesso alle risorse a un dominio (dato che il dominio può essere simulato con DNS / host locali). Ma non è proprio questo il problema.

Cosa mi manca?

same-origin-policy cors wire

posta mr.meer 16.02.2018 - 17:56

fonte

1 risposta

Leggi altre domande sui tag same-origin-policy cors wire

EMET impedisce a WannaCry di sfruttare l'esecuzione? norme per la regolamentazione dell'autorità di certificazione intermedia

score 5 · Accepted Answer

La politica CORS impedisce a un sito Web dannoso di accedere ai dati su altri domini. Ad esempio, foo.com non dovrebbe essere in grado di leggere il contenuto di bar.com tramite una richiesta Ajax o meccanismo simile. Se imposti l'intestazione Access-Control-Allow-Origin su * , consente a qualsiasi dominio su Internet di inviare una richiesta al tuo dominio.

Per impostazione predefinita, quando non viene impostata l'intestazione Access-Control-Allow-Origin , viene applicato il SOP predefinito e le richieste possono essere eseguite solo dallo stesso dominio.

L'avvelenamento del DNS è irrilevante qui, poiché lo scopo di CORS è di impedire la fuga di informazioni verso altri host. Se il server utilizza HTTPS, non sarai in grado di gestire la connessione man-in-the-middle o di impersonare il server, il che non ti farà guadagnare nulla.