生男生女秘籍/准妈妈/母教开发/生男全孕妇新生儿护理视频！初生婴儿宝宝护实体店烤猪蹄配方技术教程 正宗烧烤猪韩国石锅拌饭视频教程 特色小吃技术 陕西岐山臊子面技术 臊子面配方 岐山
VIP会员专属资源
小吃技术配方教程
大学课程视频教学
计算机技术视频教程
软件视频教程
百科学习视频资源
友情链接友情链接本站要求: 百度收录1000以上比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
跨域资源共享(CORS)安全性浅析
关键字：CORS 系统安全
　　一、背景
　　提起的同源策略，大家都很熟悉。不同域的客户端脚本不能读写对方的资源。但是实践中有一些场景需要跨域的读写，所以出现了一些hack的方式来跨域。比如在同域内做一个代理，JSON-P等。但这些方式都存在缺陷，无法完实现跨域读写。所以在XMLHttpRequest v2标准下，提出了CORS(Cross Origin Resourse-Sharing)的模型，试图提供安全方便的跨域读写资源。目前主流浏览器均支持CORS。
　　二、技术原理
　　CORS定义了两种跨域请求，简单跨域请求和非简单跨域请求。当一个跨域请求发送简单跨域请求包括：请求方法为HEAD，GET，POST;请求头只有4个字段，Accept，Accept-Language，Content-Language，Last-Event-ID;如果设置了Content-Type，则其值只能是application/x-www-form-urlencoded,multipart/form-data,text/plain。说起来比较别扭，简单的意思就是设置了一个白名单，符合这个条件的才是简单请求。其他不符合的都是非简单请求。
　　之所以有这个分类是因为浏览器对简单请求和非简单请求的处理机制是不一样的。当我们需要发送一个跨域请求的时候，浏览器会首先检查这个请求，如果它符合上面所述的简单跨域请求，浏览器就会立刻发送这个请求。如果浏览器检查之后发现这是一个非简单请求，比如请求头含有X-Forwarded-For字段。这时候浏览器不会马上发送这个请求，而是有一个preflight，跟验证的过程。浏览器先发送一个options方法的预检请求。下图是一个示例。如果预检通过，则发送这个请求，否则就不拒绝发送这个跨域请求。
　　下面详细分析一下实现安全跨域请求的控制方式。先看一下非简单请求的预检过程。浏览器先发送一个options方法的请求。带有如下字段：
　　Origin: 普通的HTTP请求也会带有，在CORS中专门作为Origin信息供后端比对,表明来源域。
　　-Control-Request-Method: 接下来请求的方法，例如PUT, DELETE等等
　　Access-Control-Request-Headers: 自定义的头部，所有用setRequestHeader方法设置的头部都将会以逗号隔开的形式包含在这个头中
　　然后如果了cors，会返回对应对的字段，具体字段在返回结果是一并解释。
　　Access-Control-Allow-Origin:
　　Access-Control-Allow-Methods:
　　Access-Control-Allow-Headers:
　　然后浏览器再根据服务器的返回值判断是否发送非简单请求。简单请求前面讲过是直接发送，只是多加一个origin字段表明跨域请求的来源。然后服务器处理完请求之后，会再返回结果中加上如下控制字段：
　　Access-Control-Allow-Origin: 允许跨域访问的域，可以是一个域的列表，也可以是通配符"*"。这里要注意Origin规则只对有效，并不会对子目录有效。即http://foo.example/subdir/ 是无效的。但是不同子域名需要分开设置，这里的规则可以参照同源策略
　　Access-Control-Allow-Credentials: 是否允许请求带有验证信息，这部分将会在下面详细解释
　　Access-Control-Expose-Headers: 允许脚本访问的返回头，请求成功后，脚本可以在XMLHttpRequest中访问这些头的信息(貌似webkit没有实现这个)
　　Access-Control-Max-Age: 缓存此次请求的秒数。在这个时间范围内，所有同类型的请求都将不再发送预检请求而是直接使用此次返回的头作为判断依据，非常有用，大幅优化请求次数
　　Access-Control-Allow-Methods: 允许使用的请求方法，以逗号隔开
　　Access-Control-Allow-Headers: 允许自定义的头部，以逗号隔开，大小写不敏感
　　然后浏览器通过返回结果的这些控制字段来决定是将结果开放给客户端脚本读取还是屏蔽掉。如果服务器没有配置cors，返回结果没有控制字段，浏览器会屏蔽脚本对返回信息的读取。
　　三、安全隐患
　　大家注意这个流程。服务器接收到跨域请求的时候，并没有先验证，而是先处理了请求。所以从某种程度上来说。在支持cors的浏览器上实现跨域的写资源，打破了传统同源策略下不能跨域读写资源。
　　再一个就是如果程序猿偷懒将Access-Control-Allow-Origin设置为允许来自所有域的跨域请求。那么cors的安全机制几乎就无效了。不过先别高兴的太早。其实这里在设计的时候有一个很好的限制。xmlhttprequest发送的请求需要使用“withCredentials”来带上cookie，如果一个目标域设置成了允许任意域的跨域请求，这个请求又带着cookie的话，这个请求是不合法的。(就是如果需要实现带cookie的跨域请求，需要明确的配置允许来源的域，使用任意域的配置是不合法的)浏览器会屏蔽掉返回的结果。javascript就没法获取返回的数据了。这是cors模型最后一道防线。假如没有这个限制的话，那么javascript就可以获取返回数据中的csrf token，以及各种敏感数据。这个限制极大的降低了cors的风险。
　　四、攻击模型
　　从思路上讲，有两种类型的攻击方式。一种是在攻击者自己控制的网页上嵌入跨域请求，用户访问链接，执行了跨域请求，从而攻击目标，比如访问了内网敏感资源。还有一种是正常的网页被嵌入了到攻击者控制页面的跨域请求，从而劫持用户的会话。
　　五、攻击场景
　　先看第一种思路的攻击场景：
　　1,复杂csrf。传统的csrf都是利用html标签和表单来发送请求。没有办法实现一些复杂步骤的csrf，比如模拟购物，先加购物车，结算，填写信息，等等。比如上传文件。具体可以参考利用csrf上传文件
　　2,访问内网敏感资源。这个在一定的条件下是可以实现的。比如内网的服务器配置了
　　Access-Control-Allow-Origin: * 允许任何来自任意域的跨域请求
　　用户访问恶意网页的时候，执行了到内网服务器192.168.1.123/password.txt的请求，脚本在接收到服务器返回之后，将内容发送到攻击者的服务器上。
　　第二种思路的场景:
　　1,交互式xss。参考揭密带来的攻击手法中讲到的shell of the future工具。通过cors，绕过一些反会话劫持的方法，如HTTP-Only限制的cookie，绑定IP地址的会话ID等，劫持用户会话。
　　2,程序猿在写ajax请求的时候，对目标域限制不严。有点类似于url跳转。出现过这样一个案例。javascript通过url里的参数进行ajax请求。通过控制这个参数实现注入攻击。
[ 责任编辑：小石潭记 ]
据IDC预测，平板电脑行业将在…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte信息资源建设与信息资源共享的关系_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
文档贡献者
评价文档：
百度文库破亿啦
信息资源建设与信息资源共享的关系
把文档贴到Blog、BBS或个人站等：
普通尺寸(450*500pix)
较大尺寸(630*500pix)
大小：1.12MB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢张掖临泽县平川镇文化信息资源共享工程丰富农村文化生活_播报天下_贵阳网
&&&&&&>&&&&&正文
张掖临泽县平川镇文化信息资源共享工程丰富农村文化生活
来源：中国甘肃网&&
摘要：临泽县平川镇本着“充分利用，资源共享，文化繁荣”的原则，依托镇文化服务中心、图书阅览室、多媒体活动室、各村级农家书屋，充分利用文化信息资源共享工程开展活动，实现共享工程对外服务。
中国甘肃网5月7日讯(通讯员
蒋丽丽)临泽县平川镇本着“充分利用，资源共享，文化繁荣”的原则，依托镇文化服务中心、图书阅览室、多媒体活动室、各村级农家书屋，充分利用文化信息资源共享工程开展活动，实现共享工程对外服务。
一是农民技能培训。根据农户的需求，利用多媒体演播厅播放牛羊养殖、设施农业等科技种养方面的光盘，并请科技人员现场讲解答疑，为广大的种养殖户提供一个学习的平台。
二是经典影视欣赏。在送戏、送电影下乡的同时，在赶集日期间，利用镇公共电子阅览室播放戏剧和电影，为广大的群众提供精神大餐。
三是开展征文活动。以村级农家书屋为载体，开展“书香平川”征文活动，并选出优秀的作品在农家书屋宣传栏进行展出。
责任编辑：
7月24日，2015多彩贵州文化创意产业博览交易会将在多彩贵...乙类传染病中共报告艾滋病、肝炎、麻疹、出血热、狂犬病 ...昨日记者从贵阳市道路运输管理局获悉，今年内息烽县将开 ...7月10日上午，省政府召开全省社会福利机构火灾隐患专项整...昨日，贵州省2015年省、市、县、乡四级机关统一面向社会 ...
一路被虐着追看的江苏卫视明星恋爱真人秀《我们相爱吧》 ...本周四（7月9日）阔太李念在微博晒出一张自拍照，照片中 ...33岁港姐叶翠翠办百万婚礼 系赵薇老公旧爱一则“大学生花12万给TFBOYS打广告”的消息爆红网络，引 ...●徐静蕾：我觉得这是全世界唯一的后悔药——别的任何事 ...
11日，前NBA巨星麦克格雷迪抵达长春，他将率领麦蒂明星队...卡西正式离开皇马，不少皇马球员都发文送别，而作为卡西 ...2000年签下菲戈、2001年签下齐达内、2002年签下罗纳尔多 ...直到赖导接到陪同的电话，杨方旭马上回来，赖导赶快下楼 ...7月10日晚，《爸爸去哪儿》第三季重回荧幕，中国拳王邹市...
2015秋冬高级定制大秀选址在罗马人民广场，这无疑为此次 ...除此之外，创意总监Riccardo Tisci从他的时尚家族中挑选 ...白色或浅蓝色的衬衫一直被视作简单且正式的“无趣”单品 ...2015秋冬高级定制时装周T台上精彩纷呈，秀场外街拍同样高...导语：相比纯色的T恤单品，条纹图案的款式，看着不凌乱还...
李萱表示，征信从来都是大数据的，不存在小数据征信这个概念。[]
昨日是我省高考录取首日，18所院校在黔录取136人。[]本文欢迎转载，转载请注明：转载自IT168： []
IT168企业级官方微信
CIO-CTO俱乐部
正在努力加载文档，请稍等…
点击或扫描下载
点击或扫描下载
点击或扫描下载