“Access-Control-Allow-Origin”标头不安全
low Web App Scanning 插件 ID 98057
语言:
简介
“Access-Control-Allow-Origin”标头不安全描述
跨源资源共享 (CORS) 是一种 HTML5 技术,现代 Web 浏览器可借此绕过同源策略实施的限制。同源策略要求 JavaScript 和页面都从相同的域加载,才能允许 JavaScript 与页面交互。这反过来可以防止从外部域加载 JavaScript 时执行恶意 JavaScript。
CORS 策略可让应用程序为浏览器实施的安全措施指定例外情况,并支持开发人员指定允许执行并与页面进行交互的外部 JavaScript 的许可名单域。
“Access-Control-Allow-Origin”标头设置为“*”或为空时是不安全的,因为它允许任何域执行跨域请求和读取响应。攻击者可以滥用此配置,从不使用标准身份验证机制的应用程序(例如,仅允许从内部网络访问的 Intranet)中检索隐私内容。
解决方案
除非目标应用程序经过特别设计,可为任何域提供公共内容,否则“Access-Control-Allow-Origin”应配置为仅包含已知和可信域的许可名单,以便在需要时执行跨域请求;或者,如果不需要跨域请求,则应将其禁用。另见
https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS
插件详情
严重性: Low
ID: 98057
类型: remote
发布时间: 2017/3/31
最近更新时间: 2024/3/25
扫描模板: api, basic, config_audit, full, overview, pci, quick, scan
风险信息
VPR
风险因素: Low
分数: 1.4
CVSS v2
风险因素: Low
基本分数: 2.6
矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS 分数来源: Tenable
CVSS v3
风险因素: Low
基本分数: 3.1
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVSS 分数来源: Tenable
CVSS v4
风险因素: Low
Base Score: 2.1
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
CVSS 分数来源: Tenable