交叉原始资源共享

描述：跨原生资源共享

HTML5交叉原始资源共享（CORS）策略控制着在其他域上运行的内容以及如何与发布策略的域进行双向交互。该策略是细粒度的，可以根据请求的URL和其他功能应用每次要求访问控件。

如果策略允许另一个域，则该域可能会攻击应用程序的用户。如果用户被登录到应用程序，并访问策略允许的域，则在该域上运行的任何恶意内容都可以从应用程序中检索内容，有时在用户登录的安全环境中执行操作。

即使允许的域本身并不是公开的恶意，该域内的安全漏洞可能会被攻击者利用，以利用信任关系并攻击允许访问的应用程序。应审查包含敏感信息的页面上的CORS策略，以确定是否适合申请信任任何授予的域的意图和安全姿势。

修复：跨原始资源共享

任何不适当的领域都应从CORS政策中删除。

参考

• beplay体育能用吗网络安全学院：交叉原始资源共享（CORS）
• 利用CORS错误配置

脆弱性分类

• CWE-942：过于允许的跨域白名单

典型的严重程度

信息

类型索引（HEX）

0x00200600

类型索引（十进制）

2098688