已解決430363個問題，去搜搜看，總會有你想問的

設置訪問控制允許來源有哪些安全隱患？

關注

首頁猿問設置訪問控制允許來源有哪些安全隱患？

安全

躍然一笑 2019-10-10 15:49:09

我最近不得不設置Access-Control-Allow-Origin為*，以便能夠進行跨子域的ajax調用?，F在，我不禁感到自己正在使環境面臨安全風險。如果我做錯了，請幫助我。

查看完整描述

3 回答

瀟瀟雨雨

TA貢獻1833條經驗獲得超4個贊

通過使用響應Access-Control-Allow-Origin: *，所請求的資源允許與每個來源共享。基本上，這意味著任何站點都可以向您的站點發送XHR請求并訪問服務器的響應，如果您尚未實現此CORS響應，則不會這樣。

因此，任何站點都可以代表其訪問者向您的站點發出請求并處理其響應。如果您基于瀏覽器自動提供的內容（例如cookie，基于cookie的會話等）實施了諸如身份驗證或授權方案之類的內容，則由第三方站點觸發的請求也將使用它們。

這確實帶來了安全風險，尤其是如果您不僅允許共享所選資源，還允許共享每個資源的資源，則尤其如此。在這種情況下，您應該看看何時可以安全啟用CORS？。

反對回復 2019-10-10

關注

舉報

0/150

提交

取消