[英]Confusion on the 'Access-Control-Allow-Origin' header with apache
假設我的網站名為 SiteA.com 在 Apache web 服務器上運行。 我已經定義了ff。 在我的 httpd.conf 文件下面:
Header set Access-Control-Allow-Origin "CustomBank.com"
問題:
這是否意味着只有 CustomBank.com 可以直接訪問我的網站 (SiteA.com)? 還是意味着只有我的網站 (SiteA.com) 可以直接訪問 CustomBank.com 域? 如果此設置用於入站或出站,我感到困惑。
實際上,我的站點不需要任何 CORS 要求,因此我沒有實施上述設置,下面的設置顯示在我的響應 header 中。
訪問控制允許來源:*
滲透測試團隊表示此設置過於寬松。 我只需要刪除它嗎? 如果不是我該怎么辦?
這意味着從 CustomBank.com 加載的 javascript 可以在后台通過 XMLHTPRequest 向您的站點(配置已更改的站點)發出請求。
由於 XMLHTTPRequest 將向用戶發送現有的 session cookie 與您的網站,惡意腳本可以代表您的用戶做各種邪惡/誤導性的事情。 這就是為什么 * 通常不是一個合適的修復方法。
這些限制適用於其他更深奧的類似腳本的調用,您可以在規范中閱讀。
帶有Apache的'Access-Control-Allow-Origin'標頭
[英]The 'Access-Control-Allow-Origin' header with apache
在 Apache 中使用 Access-Control-Allow-Origin 標頭處理多個域
[英]handle multiple domains with Access-Control-Allow-Origin header in Apache
Apache:缺少CORS標題“Access-Control-Allow-Origin”
[英]Apache : CORS header 'Access-Control-Allow-Origin' missing
Angular 5 / Apache /沒有'Access-Control-Allow-Origin'標頭
[英]Angular 5 / Apache / No 'Access-Control-Allow-Origin' header
標頭集Access-Control-Allow-Origin在Apache2.4中不起作用
[英]Header set Access-Control-Allow-Origin not working in Apache2.4
Apache2 沒有“Access-Control-Allow-Origin”標頭盡管有適當的標簽
[英]Apache2 No 'Access-Control-Allow-Origin' header Despite proper tags
Laravel Apache Project中的請求資源上沒有'Access-Control-Allow-Origin'標頭
[英]No 'Access-Control-Allow-Origin' header is present on the requested resource in Laravel Apache Project
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.