我正在开发一个应用程序,并且希望使用http post请求将数据从客户端发送到服务器,服务器在该服务器上使用客户端的原始网址来允许使用我们的服务,所以我的问题是,来自客户端的http url被伪造为访问我的服务的安全威胁,如果是的话,我还应该采取其他替代方法吗?
一个示例是,如果在foo.com页面上运行的客户端脚本想要从bar.com请求数据,则在请求中必须指定标头Origin: http://foo.com,而bar必须以{ {1}}。
有什么方法可以阻止roh.com网站上的恶意代码简单地欺骗标头Origin:Access-Control-Allow-Origin: http://foo.com来从bar请求页面?
答案 0 :(得分:0)
如何阻止roh.com网站上的恶意代码 欺骗标题Origin
浏览器是。 CORS限制和标头仅在浏览器中有效,浏览器在控制它们方面非常严格。这是专门为防止用户可能在不知不觉中访问的随机站点上的随机脚本进行的偷渡式攻击而设计的。这是为了保护浏览器用户。
但是,绝对没有什么能阻止流氓服务器向您的服务器发送带有任意标头的任意HTTP请求。我现在可以使用curl或类似的命令从命令行中执行此操作。这些标头对您的服务器没有任何形式的保证或保护。
答案 1 :(得分:0)
'服务器使用客户端上的原始网址允许使用我们的服务'
原始网址很容易被伪造。
添加带有令牌的登录名以防止这种情况。