心得與記錄

CORS

正在初始化搜尋引擎

自我介紹
心得
年度回顧
隨筆

心得與記錄

自我介紹
心得
心得
- Designing Data-intensive Applications
  Designing Data-intensive Applications
- Distributed Systems with Node.js
  Distributed Systems with Node.js
- （WIP）Future Of Fusion Energy
  （WIP）Future Of Fusion Energy
  - 能源
  - 核融合
- （WIP）SRE Workbook
  （WIP）SRE Workbook
- Release It!
- Adaptive Concurrency
- Physics
  Physics
  - 天文學
  - （WIP）狹義相對論
年度回顧
年度回顧
- 2022 AI 回顧
- 2023 回顧
隨筆
隨筆
- 系統架構類
  系統架構類
- 程式語言類
  程式語言類
- 網路相關
  網路相關
- 網路安全
  網路安全
  - CORS CORS
    目錄
    
    歷史
    
    圖表說明
    
    Access-Control-Allow-Origin
    
    細節
    
    攻擊
    
    延伸
  - Mixed Content
  - OWASP API Top 10
  - OWASP 驗證機制最佳指南
  - OWASP 行動裝置風險
- 其他
  其他
- 開發體驗的改進
- PLS-SEM
- 機密運算

目錄

歷史
圖表說明
Access-Control-Allow-Origin
細節
攻擊
延伸

CORS¶

What is Origin?

歷史¶

為了保護使用者的隱私和被要求的網站隱私。

圖表說明¶

CORS 簡例

使用者進到 http://example.com 的網站。
使用者的瀏覽器透過網站需求可能會去跟其他網站（http://image.com）要檔案（圖片，CSS 檔...）。
為了保護被要求的網站隱私，若該網站回傳的標頭不允許該存取，瀏覽器會判定要求失敗，反之則成功。

Access-Control-Allow-Origin¶

http://example.com
http://example.com | http://other.com
*

細節¶

若 HTTP request 夾雜了些東西， HTTP response 就會需要更多標頭來表達意願。
若 HTTP request 夾雜了些東西，瀏覽器可能還需要做預先檢查，若檢查失敗，不會做進一步的要求。

夾雜的東西常常就是使用者的隱私。

攻擊¶

若允許所有的要求，攻擊者可以在自己網站（devil.com）要求一個在被攻擊網站（example.com）中的會員專屬圖片，並透過圖片或其他互動方式要到會員個人可辨識的資料或甚至 cookie 的值。

延伸¶

very new feature!!

Cross Origin Embedder Policy (COEP) - 網站是否需要使用 CORP 和 CORS
Cross Origin Opener Policy (COOP) - 能否在不移動網址情況下打開其他網頁（popup）
Cross Origin Resource Policy (CORP) - Cross-Origin-Resource-Policy - same-origin - same-site - cross-origin
Cross Origin Read Blocking (CORB) - Cross-Origin-Embedder-Policy - require-corp

2024年9月4日 2021年8月25日

Made with Material for MkDocs