HTTP 源头和同源策略的安全问题

Posted

技术标签:

【中文标题】HTTP 源头和同源策略的安全问题【英文标题】:HTTP origin header and security concern with same origin policy 【发布时间】:2016-05-07 15:55:00 【问题描述】:

我正在深入研究跨域请求,但我不确定同源策略如何有效。关于如何处理 CORS 的话题很多,但很少有人解释为什么需要相同的策略。

topic 给出了一些很好的答案,但我仍有疑问。

    是服务器应该检查 Origin 标头,如果不对应于其授权来源列表中的任何项目,则阻止请求,或者至少不处理它?还是服务器不理会,让浏览器屏蔽掉?

    在最后一种情况下,这意味着请求将由服务器处理,并且可能会更改数据库状态或执行一些应该阻止的操作,对吗?

    我听说过'preflight',如果OPTIONS请求返回当前域不被服务器允许,是浏览器会阻止第二个请求吗?

    李>

    Origin 标头真的安全吗?我的意思是,不能通过javascript代码更改它吗?

我会很感激任何帮助:)

【问题讨论】:

【参考方案1】:

存在同源策略是为了保护客户端,而不是服务器。它由浏览器强制执行。服务器只处理它收到的每个请求。

【讨论】:

以上是关于HTTP 源头和同源策略的安全问题的主要内容,如果未能解决你的问题,请参考以下文章

解决Ajax 跨域问题 - JSONP原理解析

关于安全性问题:(XSS,csrf,cors,jsonp,同源策略)

前端安全之同源策略CSRF 和 CORS

同源和跨域问题及解决方案

同源和跨域问题及解决方案

SpringBoot使用CORS解决跨域请求问题