为啥禁用浏览器网络安全（例如 Chrome）有助于执行跨站点请求？

Posted 2023-03-04

【中文标题】为啥禁用浏览器网络安全（例如 Chrome）有助于执行跨站点请求？

【英文标题】：Why will disabling Browser Web Security (e.g. Chrome) help doing Cross-Site-Requests?为什么禁用浏览器网络安全（例如 Chrome）有助于执行跨站点请求？

【发布时间】：2013-02-14 20:20:42

【问题描述】：

我们有几个内部网络应用程序。其中之一需要访问所有其他应用程序。问题是：Same-Orign-Policy。

实际上，我确实设法绕过它。首先，IE 在网络安全方面相当草率。所以，它实际上问我是否要完成这些请求。如果我点击是，他只是执行了跨站点请求。

但由于大多数用户不会使用 IE，因此需要使其在另一个浏览器中运行。 所以，我试图让它在谷歌浏览器中运行。经过一番研究，我发现，当我使用执行参数--disable-web-security 打开网络安全时，它会起作用。 这完成了工作。但不幸的是，大多数用户不会使用这个执行参数。因此我需要另一种解决方案。

然后我遇到了 CORS。 CORS 似乎是在 Chrome 中实现的，但它有一个缺点（对我来说）。我需要在服务器端设置标题。 由于我不会在这里讨论的原因，这是不行的。

所以我真正想知道的是：

为什么禁用浏览器的网络安全可以完成这项工作，而我需要服务器在使用 CORS 时允许请求？

当我禁用网络安全时，浏览器内部究竟发生了什么？

还有其他方法可以执行我的 CSR，而无需在服务器端添加标头或禁用安全性？

提前致谢

编辑： JSONP 也不成问题

【参考方案1】：

为什么禁用浏览器的网络安全可以完成这项工作，而我在使用 CORS 时需要服务器允许请求？

同源策略的目的是防止 Mallory 的邪恶网站让 Alice 的浏览器访问 Bob 的网站并将 Alice 的数据暴露给 Mallory。

禁用浏览器中的安全性实际上是在说“我不在乎保护我在 Bob（或任何其他！）网站上的数据”。如果浏览器要靠近开放的网络，这是一件危险的事情。提供该选项是为了让开发更方便——我更喜欢可控性更强的解决方案（例如 Charles 代理中的 URL 重写选项）。

CORS 是 Bob 的网站，上面写着“此 URL 不包含任何 Mallory（或其他特定网站或所有人）不应访问的数据，因此他们可以访问它。Bob 的网站可以这样做，因为它知道其中哪些部分包含公共数据，哪些部分包含私有数据。

当我禁用网络安全时，浏览器内部究竟会发生什么？

它会禁用上述安全功能并减少对用户数据的保护。

还有另一种方法来执行我的 CSR，而无需在服务器端添加标头或禁用安全性？

代理。请参阅Ways to circumvent the same-origin policy，特别是the Reverse Proxy method。

【讨论】：

这是否意味着在服务器端设置标头完全没有意义，而客户端根本不会检查它？我一直以为服务器会检查请求是否正常..

服务器无法知道请求是否由在另一个站点上运行的 javascript 触发。客户端将检查它，并默认阻止对数据的访问。 CORS 标头告诉客户端不要担心并将请求的数据暴露给 JS。

有没有办法在客户端检查之前以某种方式操纵响应头？听说有一个 Firefox 插件可以完成这项工作。

【参考方案2】：

我猜你正在使用 AJAX 请求，这是另一个问题 Ways to circumvent the same-origin policy 有一个很大的详细答案。

可以使用Flash对象（flash没有这个问题）

还有关于“可能发生的最坏情况”http://blogs.msdn.com/b/ieinternals/archive/2009/08/28/explaining-same-origin-policy-part-1-deny-read.aspx 和 http://en.wikipedia.org/wiki/Cross-site_scripting