cors概述
发生跨域资源共享,web应用程序通过在http增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象
cors漏洞原理
cors请求分为两类,简单请求与非简单请求.
简单请求:
请求方式为GET,POST,HEAD三种之一
http头不超过(Accept,Accept-language,Content-language,Lat-event-id,content-type)
当浏览器发现服务器的请求为简单请求时,头信息会加入origin字段.该字段代表请求来自哪个域,server检验是否来自该域,匹配的话响应头会添加第三个字段
Access-control-allow-origin
Access-control-allow-credentials
Access-control-expose-headers
其中Access-Control-allow-origin是必须有的,.代表允许哪个域可以访问,当字段值为*时,代表任意域都可以访问,导致cors漏洞产生