Verständnis AJAX CORS und überlegungen zur Sicherheit

Ich versuche zu verstehen, warum CORS arbeitet in der Weise, dass es funktioniert.

Da erfuhr ich von dieser Beitrag, wenn die Seite von www.a.com macht AJAX-request www.b.com, dann ist es die www.b.com , der entscheidet, ob eine Anfrage erlaubt werden sollte oder nicht.

Aber was genau ist gesichert auf client-in einem solchen Modell?
Zum Beispiel, wenn es einem hacker gelingt, um ein XSS script-injection zu meiner Seite, dann macht es ein AJAX-request zu seiner Domäne zum speichern von Benutzerdaten. So ein hacker-Domäne wird eine solche Anfrage für Sie sicher.

Dachte ich, dass www.a.com entscheiden sollte, welche domains zu erlauben, die Anfrage zu. So in der Theorie in einer Kopfzeile Access-Control-Allow-Origin " ich würde gerne die ganze Liste der domains, die erlaubt sind für die AJAX-CORS-Anfragen.

Kann mir jemand erklären, welche Sicherheitsprobleme die aktuellen CORS Umsetzung behandelt?

ja, das ist richtig, der Domäne, der die Daten ( saas ) auflisten kann, es ist "erlaubt" - domains. (ACAO) Nach, dass es in der Verantwortung des SaaS-um sicherzustellen, dass die Anfragen werden sicher gemacht ( durch regelmäßigen 'web-server' bedeutet - string-Bereinigung, fangen, DSA etc )

InformationsquelleAutor Alex Dn | 2014-02-18

  1. 23

    Als ich gelernt von diesem posten, wenn die Seite von www.a.com macht AJAX-request www.b.com ist, dann ist es die www.b.com dass entscheidet ob die Anfrage erlaubt sein sollte oder nicht.

    Nicht ganz. Die Anforderung nicht blockiert ist.

    Standardmäßig das JavaScript läuft auf www.a.com ist verboten der Zugriff auf die Antwort von www.b.com.

    CORS ermöglicht www.b.com die Erlaubnis, die von JavaScript aus www.a.com um auf die Antwort.

    Aber was genau ist gesichert auf client-in einem solchen Modell?

    Er hält den Autor von www.a.com aus Lesen von Daten aus www.b.com mit dem browser von Einem Benutzer besuchte Websites und authentifiziert wurde auf www.b.com (und hat damit Zugriff auf Daten, die nicht öffentlich).

    Beispielsweise Alice angemeldet ist Google. Alice besucht malicious.example verwendet XMLHttpRequest, um auf Daten aus gmail.com. Alice hat ein GMail-Konto, so dass die response hat eine Liste der aktuellsten E-Mail in Ihrem Posteingang. Die same-origin-policy verhindert, dass malicious.example aus, es zu Lesen.

    Beispielsweise hacker Erfolg zu machen XSS-script-injection zu meiner Seite, dann macht es AJAX-Anfrage zu seiner Domäne zum speichern von Benutzerdaten. Damit Hacker Domäne können solche Anfrage sicher.

    Richtig. XSS ist ein anderes Sicherheitsproblem, das gelöst werden muss an der Quelle (also bei www.a.com und nicht im browser).

    InformationsquelleAutor Quentin

  2. 5

    Neben @Quentin ausgezeichnete Antwort, es gibt eine andere Technik, bekannt als Content Security Policy, die beschreibt, was Sie sind nach.

    Dachte ich, dass http://www.a.com entscheiden sollte, welche domains zu erlauben, die Anfrage zu. So in der Theorie innerhalb einer header Access-Control-Allow-Origin ich würde gerne die ganze Liste der domains, die erlaubt sind für die AJAX-CORS-Anfragen.

    Mit CSP, konnten Sie eine Kopfzeile, die von Ihrer Domäne (www.a.com in deinem Beispiel) zu beschränken AJAX-Anfragen:

    connect-src Grenzen der Ursprung, zu dem Sie eine Verbindung herstellen können (via XHR, WebSockets, und EventSource).

    Also diese zu verwenden, können Sie diese Content-Security-Policy HTTP-header, HTML-Antwort:

    Content-Security-Policy: connect-src 'self'

    Diese beschränken AJAX-Anfragen zu www.a.com wenn dieser header wird in der Antwort von www.a.com:

    'selbst' entspricht dem aktuellen Ursprung, aber nicht Ihre subdomains

    Siehe hier für die unterstützten Browser.

    InformationsquelleAutor SilverlightFox

Schreibe einen Kommentar