从 HTTP 到 HTTPS 发出 CORS 请求是不是存在任何安全问题？

Posted 2023-03-04

【中文标题】从 HTTP 到 HTTPS 发出 CORS 请求是不是存在任何安全问题？

【英文标题】：Are there any security concerns of making a CORS request from HTTP to HTTPS?从 HTTP 到 HTTPS 发出 CORS 请求是否存在任何安全问题？

【发布时间】：2017-01-16 15:09:17

【问题描述】：

我有一个服务器，我已确认只能通过 HTTPS 访问。如果使用 HTTP 的受信任网站向 HTTPS 端点发出 CORS 请求，我应该担心什么？

提前感谢您的帮助。

【问题讨论】：

为什么不在所有网页中使用https？

我只是想确保在任何地方都有 HTTPS 的情况。我不确定，因为在以前的帖子中我看到人们一直在询问是否提出这些请求，而我没有看到关于提出这些请求的“警告词”。这对我来说似乎并不安全，我想我应该问。谢谢你，汤姆。

不客气。真正的问题不再是“为什么是 https”，而是“为什么是 http”。如果您没有使用 http 的真正理由，请使用 https ;)

【参考方案1】：

是的，它不安全：如果您域的 http 网页可以读取您域的 https 网页的答案，攻击者可以通过修改 http 网页.

即使用户没有访问您的网站！攻击者汽车使用任何使用 http 的网站来包含您网站的 http iframe，修改内容以强制向您的 https 网页发送 CORS 请求并将答案发送给攻击者。

“使用 HTTP 的受信任网站”：它可能被 CORS“信任”（列入白名单），但 不能信任 http 网页。

TL;DR：在任何地方都使用 https，否则你会犯一个削弱安全性的错误。

【讨论】：

我觉得这可能是一个愚蠢的问题，但是是什么阻止了攻击者对 HTTPS 网页做同样的事情呢？

“攻击者”是指介于访问者和您的服务器之间的人。修改http请求很简单，用https真的很难做到