从 HTTP 到 HTTPS 发出 CORS 请求是不是存在任何安全问题?
Posted
技术标签:
【中文标题】从 HTTP 到 HTTPS 发出 CORS 请求是不是存在任何安全问题?【英文标题】:Are there any security concerns of making a CORS request from HTTP to HTTPS?从 HTTP 到 HTTPS 发出 CORS 请求是否存在任何安全问题? 【发布时间】:2017-01-16 15:09:17 【问题描述】:我有一个服务器,我已确认只能通过 HTTPS 访问。如果使用 HTTP 的受信任网站向 HTTPS 端点发出 CORS 请求,我应该担心什么?
提前感谢您的帮助。
【问题讨论】:
为什么不在所有网页中使用https? 我只是想确保在任何地方都有 HTTPS 的情况。我不确定,因为在以前的帖子中我看到人们一直在询问是否提出这些请求,而我没有看到关于提出这些请求的“警告词”。这对我来说似乎并不安全,我想我应该问。谢谢你,汤姆。 不客气。真正的问题不再是“为什么是 https”,而是“为什么是 http”。如果您没有使用 http 的真正理由,请使用 https ;) 【参考方案1】:是的,它不安全:如果您域的 http 网页可以读取您域的 https 网页的答案,攻击者可以通过修改 http 网页.
即使用户没有访问您的网站!攻击者汽车使用任何使用 http 的网站来包含您网站的 http iframe,修改内容以强制向您的 https 网页发送 CORS 请求并将答案发送给攻击者。
“使用 HTTP 的受信任网站”:它可能被 CORS“信任”(列入白名单),但 不能信任 http 网页。
TL;DR:在任何地方都使用 https,否则你会犯一个削弱安全性的错误。
【讨论】:
我觉得这可能是一个愚蠢的问题,但是是什么阻止了攻击者对 HTTPS 网页做同样的事情呢? “攻击者”是指介于访问者和您的服务器之间的人。修改http请求很简单,用https真的很难做到以上是关于从 HTTP 到 HTTPS 发出 CORS 请求是不是存在任何安全问题?的主要内容,如果未能解决你的问题,请参考以下文章
请求在 https 上工作,但由于 cors 而在 http 上被阻止?
尝试在 https://api.thetvdb.com/ 向 TVDB REST API 发出 JSON POST 请求,但出现 CORS 错误