CORS(跨域资源共享)源验证失败解决方法

已于 2023-12-08 14:47:49 修改
阅读量1w 收藏 10
点赞数 4
分类专栏: 经验谈 文章标签: 服务器 前端 运维
于 2023-02-17 09:43:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/davidwkx/article/details/129078583
版权
文章介绍了如何使用Nginx作为反向代理来解决Web系统中的CORS高危漏洞问题。具体方法是在nginx.conf文件中设置Access-Control-Allow-*相关头信息,特别强调了避免使用通配符*并给出了配置位置的建议。此外,文中提到配置应根据实际域名进行,并提供了配置文件包含的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在web系统中,安全软件扫描经常会发现CORS(跨域资源共享)作为高危漏洞出现。本文提供用Nginx作为反向代理的解决方案。解决方式是在nginx.conf文件中做如下配置:

  set $cors "";
 if ($http_origin ~* "^http?://.*\.xxxx\.com$") {
      set $cors $http_origin;
 }
 more_set_headers 'Access-Control-Allow-Origin: $cors';
 more_set_headers 'Access-Control-Allow-Credentials: true';
 more_set_headers 'Access-Control-Allow-Methods: GET,POST,OPTIONS';
 more_set_headers 'Access-Control-Allow-Headers: token,Authorization,DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
 more_set_headers 'Access-Control-Max-Age: 86400';

注意:

1、“xxxx.com"是示例域名,按你实际用到的更改。如果有多个外部域名,则逐一按if方式处理。不建议用”*“来代替所有。

2、配置位置1:在http中所有server之前,但可能不生效。不生效则用配置位置2方式。

3、配置位置2:放在server中的location部分之前。如果很多server,可单独放在一个文件中(如nginx.cors.item),在配置位置用下面语句引入:

#跨域配置
include /usr/local/nginx/conf/nginx.cors.item;

4、在location不要配置add_header,否则本处配置不生效。

这篇文章如果对您有所帮助或者启发的话,帮忙关注或点赞,有问题请评论,必有所复。您的支持是我写作的最大动力!

CORS资源共享漏洞
谢公子的博客
01-16 1万+
目录 CORS资源共享 简单请求 非简单请求 CORS的安全问题 有关于浏览器的同策略和如何获取资,传送门——>浏览器同策略和的实现方法策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的内共享。这有效防止了系统机密信息的泄露。但与此同时,也带来了另外的问题。随着Web应用程序和微服务使用的日益增长,出于实用目的往往需要将信息从一...
CORS资源共享漏洞验证测试
afei001
01-17 3708
目录 1.前言 2.CORS漏洞概述 3.漏洞验证 3.1 curl指定Origin验证 3.2 Burpsuite抓包验证 3.3 CORS_Scanner工具验证 4.CORS_POC.html 5.漏洞修复 1.前言 之前在对网站进行安全性测试时,使用AWVS漏扫发现存在一个CORS资源共享漏洞。记录一下验证及修复方式。 afei 漏洞等级:高危 2.CORS漏洞概述 CORS(资源共享)定义了一种机制来支持客户端...
资源共享CORS漏洞
yz18931904的博客
04-19 1094
(186条消息) 资源共享CORS漏洞_Luckysec的博客-CSDN博客_cors资源共享漏洞 https://www.bugbank.cn/live/view.html?id=111824 https://blog.csdn.net/m0_38103658/article/details/102721402 https://research.qianxin.com/archives/290
JavaScript中资源共享CORS)错误的调试技巧
最新发布
shejizuopin的博客
05-09 1028
CORS错误的调试需结合服务端配置前端请求与工具验证服务端:正确配置CORS头,处理预检请求。前端:根据需求选择是否带凭据,避免非简单请求。工具:通过cURL/Postman模拟请求,验证配置。推荐阅读Go语言中数据竞争问题的解决方案(语言对比CORS与同步机制)Nginx反向代理实战:CORS与负载均衡通过本文的代码示例与表格分析,开发者可快速定位并解决CORS错误,构建安全、高效的应用!
生产服务器遇到系统漏洞,并进行解决的一些方案
qq_46319647的博客
07-22 1132
application.yaml 下 修改springdoc配置修改为如下配置application-test.yaml 下 修改management 配置nginx.conf进行配置对nignx进行热补丁。
tomcat CORS资源共享漏洞
ni_e_xin的博客
12-07 2402
tomcat cors资源共享漏洞
解决CORS (资源共享) 错误
2301_78955442的博客
11-06 1299
部分在当前配置中没有实际效果,但它通常用于修改请求路径,例如去掉前缀或添加其他路径部gaicgai'c。配置项来定义的,目的是将前端的某些请求转发到后端服务器(通常运行在不同的端口上)。是代理的目标地址,也就是后端 API 服务器的 URL。这是 Vite 配置中的一部分,用于设置开发服务器的代理规则。通常,这对于解决问题很有用,因为浏览器会检查请求的。开头的请求时,Vite 会将这个请求转发给配置中的。,本质上它并不会改变路径,因为匹配的路径已经是。是一个函数,它用于修改请求的路径。
如何解决请求中的 CORS 错误
热门推荐
官方推荐
09-25 1万+
如何解决请求中的 CORS 错误
资源共享CORS
qq_42806915的博客
09-14 344
1. 同政策 1.1 含义 1995年,同政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页”同”。所谓”同”指的是”三个相同”。 协议相同 名相同 端口相同 举例来说,http://www.example.com/dir/page.html这个网址,协议是http://...
CORS资源共享漏洞的复现、分析、利用及修复过程
Innocence_0的博客
02-02 3625
CORS资源共享漏洞与JSONP劫持漏洞类似,都是程序员在解决问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格,诱骗受害者访问攻击者制作好的恶意网站,
彻底理解前端安全面试题(3)—— CORS资源共享解决问题,建议收藏(含码)
有一棵树的博客
01-03 2738
我们给请求加上自定义的请求头,就会多出一个预检请求同理,对于head、post 请求如果我们不加自定义响应头,也不会有预检请求Access-Control-Allow-Origin 允许的 originAccess-Control-Allow-Methods 允许的方法Access-Control-Allow-Headers 允许的请求头关于的问题已经总结完成,本篇文章详细介绍了如何使用并配置CORS、JSONP 的实现、Express 进行反向代理。我的仓库地址如下,欢迎查看。
CORS 报错】请求问题:CORS 多种环境下的解决方案
Allen-
07-11 1万+
CORS问题是前端开发中常见的一个挑战,但通过合理的代理配置和服务器设置可以有效解决。在不同环境下,可以使用Vite的代理功能、设置请求头、JSONP、服务器端代理、Nginx代理等多种方式来解决问题。
HTTP访问控制
weixin_30587025的博客
02-22 289
HTTP访问控制 资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器,让运行在一个 origin (domain) 上的Web应用被准许访问来自不同服务器上的指定的资。当一个资从与该资本身所在的服务器不同的或端口请求一个资时,资会发起一个 HTTP 请求。 出于安全原因,浏览器限制从脚本内发起的HTTP请求。 例如,XMLHttpRequest和Fe...
一直报CORS请求失败
Road
04-10 679
更新配置了半天django-cors-headers。。。在服务器运行uwsgi,每次提交图片信息的时候压根没有访问到django。原来是因为图片太大被nginx拦截了。。。呵呵呵
CORS)产生原因分析与解决方案,这一次彻底搞懂它
weixin_44829437的博客
08-10 2865
Cross-origin Resource Sharing 中文名称 “资源共享” 简称 “CORS”,它突破了一个请求在浏览器发出只能在同的情况下向服务器获取数据的限制。本文会先...
原因:cors 请求未能成功_CORS漏洞学习
weixin_39963174的博客
12-01 2713
简介网站如果存CORS漏洞就会有用户敏感数据被窃取的风险。资源共享(CORS)是一种浏览器机制,可实现对位于给定外部的资的受控访问。它扩展了同策略(SOP)并增加了灵活性。但是,如果网站的CORS策略配置和实施不当,它也可能带来基于的攻击。CORS并不是针对攻击(例如跨站点请求伪造(CSRF))的保护措施。同策略这里我们必须要了解一下同策略:同策略是一种限制性...
【安全漏洞】CORS资源共享
weixin_42925623的博客
11-22 2853
【安全漏洞】CORS资源共享
CORS(跨站资源共享)原始验证失败
12-22
CORS跨站资源共享)是一种用于在浏览器中进行请求的机制。当浏览器发起请求时,会先发送一个预检请求(OPTIONS请求)来验证服务器是否允许该请求。如果预检请求的验证失败,就会出现CORS原始验证失败的情况。 CORS原始验证失败可能有以下几种原因: 1. 服务器未正确设置Access-Control-Allow-Origin响应头:对于附带身份凭证的请求,服务器不得设置Access-Control-Allow-Origin的值为“*”,而应该设置为请求的具体值或允许的名列表。 2. 服务器未正确设置Access-Control-Allow-Methods响应头:该响应头用于指定服务器支持的请求方法。如果服务器不支持预检请求中指定的请求方法,就会导致CORS原始验证失败。 3. 服务器未正确设置Access-Control-Allow-Headers响应头:该响应头用于指定服务器支持的请求头。如果服务器不支持预检请求中指定的请求头,就会导致CORS原始验证失败。 4. 服务器未正确设置Access-Control-Allow-Credentials响应头:如果请求附带了身份凭证(如cookie、HTTP认证等),服务器需要设置该响应头为true,表示允许请求携带身份凭证。 5. 请求中的Content-Type不符合预检请求中的Content-Type:如果预检请求中指定了Content-Type,那么实际请求的Content-Type必须与之一致,否则会导致CORS原始验证失败。 如果出现CORS原始验证失败,你可以通过以下步骤来解决问题: 1. 检查服务器的响应头是否正确设置了Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers和Access-Control-Allow-Credentials。 2. 检查请求中的Content-Type是否与预检请求中的Content-Type一致。 3. 检查是否有其他安全机制(如防火墙、代理等)阻止了请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乐享技术

每一个打赏,都是对我最大的鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值