交叉原始资源共享:所有子域都信任
描述:交叉原始资源共享:所有子域都信任
HTML5交叉原始资源共享(CORS)策略控制着在其他域上运行的内容以及如何与发布策略的域进行双向交互。该策略是细粒度的,可以根据请求的URL和其他功能应用每次要求访问控件。
如果应用程序允许从所有子域中的相互作用,则显着增加了其攻击表面。例如,任何子域中的跨站点脚本(XSS)漏洞可能会损害发布该策略的应用程序。当提出未注册子域的请求时,一些消费者ISP返回自定义内容,即使所有组织自己的应用程序都安全,也可以引入XSS漏洞。
修复:跨原始资源共享:所有子域都信任
与其信任所有子域,不如使用信任子域的白名单。
参考
脆弱性分类
典型的严重程度
低的
类型索引(HEX)
0x00200603
类型索引(十进制)
2098691