交叉原始资源共享:未加密的来源
描述:交叉原始资源共享:未加密的来源
HTML5交叉原始资源共享(CORS)策略控制着在其他域上运行的内容以及如何与发布策略的域进行双向交互。该策略是细粒度的,可以根据请求的URL和其他功能应用每次要求访问控件。
如果网站允许从使用未加密的HTTP通信的原点进行交互,那么它很容易受到攻击者的影响,该攻击者可以查看和修改用户的未加密网络流量。攻击者可以控制未加密的起源的响应,从而注入能够与发布策略的应用程序交互的内容。这意味着该应用程序有效地扩展了所有此类攻击者的信任,从而消除了使用HTTPS通信的许多好处。
修复:跨原素资源共享:未加密的来源
只有使用加密的HTTPS通信的信任起源。
参考
脆弱性分类
典型的严重程度
低的
类型索引(HEX)
0x00200602
类型索引(十进制)
2098690