Access-Control-Allow-Origin intestazione spoofing?

3

È possibile che un utente malintenzionato falsi l'intestazione Access-Control-Allow-Origin?

Oppure, è abbastanza sicuro da proteggere l'accesso alla risorsa tramite l'intestazione Access-Control-Allow-Origin?

Sto cercando di rendere inutilizzabile una chiave API su determinati domini, come il collegamento in API JS.

    
posta user2712273 28.11.2013 - 23:00
fonte

1 risposta

1

Se un utente malintenzionato può controllare l'intestazione Access-control-allow-origin, può eseguire attacchi molto peggiori piuttosto che modificare questo elemento di intestazione. Ad esempio un attaccante potrebbe effettuare un attacco Man in the Middle, ma i token di autenticazione, come i cookie, sono un bersaglio più desiderabile.

Un utente malintenzionato potrebbe introdurre la propria intestazione access-control-allow-orign utilizzando la funzione HTTP Response Splitting, ma a questo punto possono controllare l'intestazione e il corpo. Un "allow-orign" non aiuta con l'intera politica Same-Origin è compromessa da una vulnerabilità XSS.

    
risposta data 29.11.2013 - 06:07
fonte

Leggi altre domande sui tag