Scopo del controllo di accesso HTTP (CORS)

2

Poiché esiste un'opzione per disabilitare il controllo di accesso HTTP (CORS) nei browser, così posso inviare richieste a qualsiasi origine. Quindi, perché dovrei preoccuparmi di eseguire un browser con CORS abilitato?

    
posta TomP 29.09.2017 - 14:51
fonte

2 risposte

4

Per il tuo bene.

Se disabiliti CORS, può accadere quanto segue:

Ti mando il link a una pagina chiamata hackfacebook.com per esempio. Quando visiti la mia pagina, richiedo la pagina facebook.com utilizzando una richiesta AJAX che, se sei connesso, restituisce il contenuto della pagina e il cookie di sessione.

Ora come proprietario di hackfacebook.com ho la sessione di accesso.

Come puoi vedere, la disattivazione di CORS è a tuo rischio poiché può aprire un altro attacco.

    
risposta data 29.09.2017 - 15:27
fonte
0

Lo scopo di CORS è di impedire che un browser web che rispetta la chiamata al server utilizzi richieste non standard con contenuti offerti da una posizione diversa.

Le richieste standard sono fondamentalmente

  • GET
  • HEAD
  • POST (ma solo alcuni tipi come application/x-www-urlencoded , cioè non application/json )

Con solo il set limitato di intestazioni standard. Qualsiasi cosa al di fuori di questi vincoli attiverà un controllo CORS tramite una chiamata OPTIONS .

    
risposta data 13.10.2017 - 07:15
fonte

Leggi altre domande sui tag