声明:本篇文章仅代表本人在学习过程中的笔记记录,用于学习交流,不得用于其他用途。(图片来源于安全客。)一、cors1、什么是corsCORS(Cross-Origin Resource Sharing)跨源资源共享,是HTML5的一个新特性,其思想是使用自定义的HTTP头部让浏览器与服务器进行沟通,它允许浏览器向跨域服务器发出XMLHttpRequest请求,从而克服AJAX只能同源使用的限制。(==PS:真可爱。==)CORS的基本原理是,第三方网站服务器生成访问控制策略,指定用户浏览器放宽 SOP 的限制,实现与指定的目标网站共享数据2、cors跨域漏洞CORS跨域漏洞的本质是服务器配置不当,即Access-Control-Allow-Origin取自请求头Origin字段,Access-Control-Allow-Credentials设置为true。导致攻击者可以构造恶意的脚本 , 诱导用户点击获取用户敏感数据(==PS:大部分漏洞的出现都是服务器配置不当。==)这里要注意的是,我们也可以测试下带有Access-Control-Allow-Origin: * 字段的网站是否有C
易水哲
一个什么都会一点的白帽子
京公网安备11010802044340号