我有一台我确认的服务器只能通过HTTPS访问。如果使用HTTP的受信任网站向HTTPS端点发出CORS请求,我应该担心什么?
提前感谢您的帮助。
答案 0 :(得分:0)
是的,它不安全:如果您网域的http网页可以阅读您网域的https网页的答案,攻击者可以,修改http网页。
即使用户没有访问您的网站!攻击者汽车使用任何使用http的网站包含您网站的http iframe,修改内容以强制向您的https网页发送CORS请求并将答案发送给攻击者。
"使用HTTP"的受信任网站:它可能是"信任" (白名单)由CORS提供,但 http网页不可信任。
TL; DR:在任何地方都使用https,否则你会犯一个会削弱安全性的错误。