Come funzionano i siti proxy di CORS?

Naviga le tue risposte
2

Mentre stavo sviluppando il lato front-end del mio progetto web, ho ricevuto un errore di protezione CORS. Non sorprende dal momento che il mio progetto di front-end non era della stessa origine. Dopo alcune ricerche su come ignorare la protezione CORS, ho trovato alcuni siti Web proxy.

Non voglio menzionare i nomi dei siti web, ma di solito funzionano in questo formato: 

https://acorsproxywebsite.com/https://example.com

Quando ho inviato questa richiesta, sono stato in grado di inviare una richiesta GET e ricevere risposta da qualsiasi sito web disattivato da CORS.

In che modo i siti Web proxy CORS possono ignorare la protezione e ottenere una risposta da qualsiasi fonte incrociata? Perché possono inviare richieste con successo ma non posso? È possibile implementare una struttura simile in modo da escludere la protezione CORS dal mio front-end?

    
posta Pilfility 17.08.2018 - 08:50
fonte

1 risposta

3

Il criterio CORS è applicato dal browser, non dal server. Il server imposta solo un paio di header HTTP che dicono al browser come vuole che si comporti. Non c'è nulla che costringa un server proxy a onorare quelle intestazioni, e può aggiungerle, modificarle o rimuoverle come può con qualsiasi altro header.

Quindi il proxy può inviare la richiesta ma non è possibile, perché come sviluppatore front-end sei vincolato alle limitazioni che il browser ti mette. Non c'è modo di aggirare questo. Dovrai impostare le intestazioni CORS appropriate sul tuo back-end, oppure dovrai continuare a fare affidamento sui proxy.

Quindi CORS e tutta la stessa politica di origine sono inutili se possono essere bypassati con un semplice proxy? No! Poiché la richiesta viene ora eseguita a acorsproxywebsite.com , i cookie o altre informazioni di autenticazione per example.com non verranno inclusi automaticamente nella richiesta dal browser. Ciò significa che il server proxy sta solo esponendo ciò che è in grado di vedere, e non ciò che altre potenziali vittime possono vedere.

    
risposta data 17.08.2018 - 09:17
fonte

Leggi altre domande sui tag

HSTS non funziona sul browser quando si tratta di un certificato autofirmato Combinazione di scansione di impronte digitali e password per l'autenticazione a 2 fattori [chiusa]