Domande con tag 'cors'

domande con tag
2
risposte

Perché l'intestazione Access-Control-Allow-Origin è necessaria?

Comprendo lo scopo del Access-Control-Allow-Credentials intestazione , ma non riesce a vedere quale problema risolve l'intestazione Access-Control-Allow-Origin . Più precisamente, è facile vedere come, se le richieste AJAX tra domin...
posta 10.10.2013 - 19:11
4
risposte

Il CORS aiuta in ogni caso contro la falsificazione di siti incrociati?

Ho letto negli ultimi due giorni su CORS e in molti posti è menzionato in quanto è una funzione di "Sicurezza" per aiutare il mondo dalla contraffazione interdominio. Non vedo ancora il beneficio e il ragionamento per CORS. Ok, i browser fara...
posta 26.08.2015 - 13:30
3
risposte

Se non desidero mai accettare richieste di origine incrociata, posso semplicemente ignorare CORS?

Le specifiche CORS indicano che se un metodo di richiesta e le intestazioni non sono semplici quindi viene inviata una richiesta HTTP OPTIONS di preflight per verificare se la richiesta è consentita dal server. Il mio server non risponde co...
posta 27.08.2012 - 20:43
2
risposte

Access-control-allow-origin: * con un token al portatore

Durante il test di un'applicazione a singola pagina, ho identificato che gli endpoint REST restituiscono intestazioni CORS che consentono l'accesso tra domini: access-control-allow-credentials: true access-control-allow-methods: GET, POST, DEL...
posta 23.06.2016 - 16:47
1
risposta

Perché una "tela contaminata" è un rischio?

Comprendo la preoccupazione di una tela contaminata: l'idea che i bit di un'immagine di un altro sito possano essere inviati a un server malevolo. Ma puoi spiegare i dettagli di come funziona esattamente? Supponiamo che l'utente visiti nast...
posta 09.02.2018 - 03:05
2
risposte

L'invio di "Access-Control-Allow-Origin: http: // localhost: 8888" è pericoloso?

Recentemente ho trovato le seguenti intestazioni HTTP su un sito che potrebbe perlomeno essere descritto come un target di alto valore: Access-Control-Allow-Origin: http://localhost:8888 Access-Control-Allow-Methods: POST, GET, PUT, DELETE, OP...
posta 28.12.2016 - 13:30
2
risposte

Quali attacchi vengono mitigati richiedendo CORS per la verifica dell'integrità della risorsa?

Qualcuno può elaborare gli attacchi a cui si fa riferimento in questo paragrafo dal W3C"> Specifiche dell'integrità delle risorse secondarie ? In order to mitigate an attacker’s ability to read data cross-origin by brute-forcing values via...
posta 23.01.2017 - 05:31
2
risposte

Esiste il rischio di abilitare CORS con un carattere jolly su S3?

Per impostazione predefinita, Amazon S3 blocca le richieste di origine incrociata. Tuttavia, consente agli utenti di configurare policy CORS per bucket. Offre controlli abbastanza elaborati per quali domini e metodi che l'utente desidera abilita...
posta 27.08.2013 - 23:29
1
risposta

Verifica dell'hash figlio iFrame del contenuto iFrame principale

Considera il seguente scenario: Alice desidera visitare il sito Web di Victor mentre era al lavoro presso Initech. Il sito Web di Victor è ospitato su un sistema di nomi di dominio alternativo a cui il DNS di Initech non fa il peer. Eve (che...
posta 05.09.2013 - 01:17
1
risposta

Vary: intestazione risposta origine e sfruttamento CORS

Recentemente PortSwigger (ragazzi dietro Burp Suite) ha pubblicato un post sul blog che parlava dei rischi per la sicurezza associati alle errate configurazioni CORS. link In sintesi, il blog parla di modi non sicuri di abilitare CORS ch...
posta 17.02.2017 - 21:20