[英]The 'Access-Control-Allow-Origin' header with apache
[英]Confusion on the 'Access-Control-Allow-Origin' header with apache
假設我的網站名為 SiteA.com 在 Apache web 服務器上運行。 我已經定義了ff。 在我的 httpd.conf 文件下面:
Header set Access-Control-Allow-Origin "CustomBank.com"
問題:
這是否意味着只有 CustomBank.com 可以直接訪問我的網站 (SiteA.com)? 還是意味着只有我的網站 (SiteA.com) 可以直接訪問 CustomBank.com 域? 如果此設置用於入站或出站,我感到困惑。
實際上,我的站點不需要任何 CORS 要求,因此我沒有實施上述設置,下面的設置顯示在我的響應 header 中。
訪問控制允許來源:*
滲透測試團隊表示此設置過於寬松。 我只需要刪除它嗎? 如果不是我該怎么辦?
這意味着從 CustomBank.com 加載的 javascript 可以在后台通過 XMLHTPRequest 向您的站點(配置已更改的站點)發出請求。
由於 XMLHTTPRequest 將向用戶發送現有的 session cookie 與您的網站,惡意腳本可以代表您的用戶做各種邪惡/誤導性的事情。 這就是為什么 * 通常不是一個合適的修復方法。
這些限制適用於其他更深奧的類似腳本的調用,您可以在規范中閱讀。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.