#apache #cors #ibmhttpserver
#apache #cors #ibmhttpserver
Вопрос:
Допустим, у меня есть имя моего веб-сайта SiteA.com работает на веб-сервере Apache. Я определил ff. below в моем файле httpd.conf:
Header set Access-Control-Allow-Origin "CustomBank.com"
Вопросы:
- Означает ли это только CustomBank.com можете получить доступ к моему сайту (SiteA.com ) непосредственно? или это означает только мой сайт (SiteA.com ) может получить доступ к CustomBank.com домен напрямую? Я не понимаю, предназначен ли этот параметр для входящих или исходящих.
- На самом деле у меня нет никаких требований CORS, необходимых для моего сайта, поэтому я не реализовал параметр, упомянутый выше, приведенный ниже, отображается в моем заголовке ответа.
Access-Control-Allow-Origin: *
Команда тестирования на проникновение заявила, что этот параметр является чрезмерно разрешительным. Мне просто нужно его удалить? если нет, что мне делать?
Ответ №1:
Это означает, что javascript загружен из CustomBank.com может отправлять запросы на ваш сайт (сайт, конфигурация которого изменилась) через XMLHTPRequest в фоновом режиме.
Поскольку XMLHttpRequest отправит существующий файл cookie сеанса пользователя с вашего сайта, вредоносные скрипты могут совершать всевозможные гнусные / вводящие в заблуждение действия от имени вашего пользователя. Вот почему * обычно не является подходящим исправлением.
Ограничения применяются к другим вызовам, подобным сценариям, которые являются более эзотерическими, о которых вы можете прочитать в спецификациях.
Комментарии:
1. Короче говоря, этот параметр относится только к входящим соединениям? другие домены обращаются к вашему домену.