跨起源资源共享:任意起源可信
描述:跨起源资源共享:任意源代身可信
HTML5横向资源共享(CORS)策略控制其他域上的内容是否以及如何执行与发布策略的域的双向交互。该策略是细粒度的,可以根据请求的URL和其他功能应用每次请求的访问控制。
信任任意orifors有效地禁用相同原点策略,允许第三方网站双向交互。beplay体育能用吗除非响应仅包括未受保护的公共内容,否则本政策可能会提出安全风险。
如果该站点指定标题访问 - 控制允许凭据:TRUE,第三方网站可能能够执行特权操作和检索敏感信息。即使没有,攻击者也可以通过使用用户的浏览器来绕过任何基于IP的访问控制。
修复:跨起源资源共享:任意起源可信
而不是使用通配符或以编程方式验证提供的起源,而是使用受信任域的白名单。
参考
漏洞分类
典型的严重性
高的
类型索引(十六进制)
0x00200601.
类型索引(十进制)
2098689.