不安全的「Access-Control-Allow-Origin」標頭
low Web App Scanning Plugin ID 98057
語系:
概要
不安全的「Access-Control-Allow-Origin」標頭說明
跨來源資源共用 (CORS) 是一種 HTML5 技術,可讓現代網頁瀏覽器繞過由同源原則實作的限制。同源原則要求 JavaScript 和頁面都必須從相同網域載入,才能允許 JavaScript 與頁面互動。這也可以防止從外部網域載入時執行惡意 JavaScript。
CORS 原則允許應用程式針對瀏覽器實作的保護指定例外狀況,並讓開發人員能夠指定允許外部 JavaScript 執行並與頁面互動的允許網域清單。
當「Access-Control-Allow-Origin」標頭設定為「*」或 null 時,它會允許任何網域執行跨網域要求和讀取回應,因而不安全。攻擊者可濫用此設定,從不使用標準驗證機制的應用程式 (例如,僅允許從內部網路存取的內部網路) 中擷取私人內容。
解決方案
除非目標應用程式特別設計為向任何網域提供公開內容,否則應將「Access-Control-Allow-Origin」設定為只包含已知且受信任網域的允許清單,以便在需要時執行跨網域要求,或者應將其停用。另請參閱
https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS
Plugin 詳細資訊
嚴重性: Low
ID: 98057
類型: remote
已發布: 2017/3/31
已更新: 2024/3/25
掃描範本: api, basic, config_audit, full, overview, pci, quick, scan
風險資訊
VPR
風險因素: Low
分數: 2.2
CVSS v2
風險因素: Low
基本分數: 2.6
媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: Tenable
CVSS v3
風險因素: Low
基本分數: 3.1
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVSS 評分資料來源: Tenable