зачем существует Cross-Origin Resource Sharing?

0

1

чтобы я страдал? (страдаю проверяй)

https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS
есть мой_сайт:80/страница.хтмл и мой_сайт:8080/мойсервер и никак из страница.хтмл не загрузить данные от «другого порта» или адреса (згрузить для джаваскрипта как текст/object/iframe/json/тдтп невыйдет)

очевидные обходы:

1. сделать мой_сайт:8080/мойсервер.js откуда вместо «своего формата отдачи» отдавать сгенерированный jsvascript текст(var xxx=[mydata];), и все данные читать из мой_сайт:80/страница.хтмл
вместо js файла можно использовать css или даже картинку(читать массив пикселей как данные в хтмлке у клиента)

2. https://cors.io/ или любой прокси на стороне сервера, направив все через один прокси, страница будет cors.io/?мой_сайт:80/страница.хтмл и в странице cors.io/?мой_сайт:8080/мойсервер (или пробросив 8080 на 80 порт на сервере(хоть пхп скриптом на стороне сервера))

...зачем это нужно если оно обходиться и создает только сложности безсмысленные

Ссылка

←	Заготовка/фреймворк/платформа для создания CRUD приложений

→

1. Ты изобрёл JSONP. Поздравляю. Только это требует специальной поддержки от стороннего сайта (этот самый формат особый), к которому ты обращаешься, соответственно он отдаст только то, что его авторы посчитали безопасным отдавать.

2. Прокси не отпроксирует куки конечного пользователя. Соответственно, не получится что-то сделать от имени пользователя на стороннем сайте. Защита работает именно от этого. А так - проксируй сколько хочешь.

KivApple ★★★★★
(20.05.18 13:58:23 MSK)
Последнее исправление: KivApple 20.05.18 13:58:50 MSK (всего исправлений: 1)

Ответ на: комментарий от KivApple 20.05.18 13:58:23 MSK

обмазался костылями, каеф

~~missxu~~
(20.05.18 14:09:38 MSK) автор топика

Ссылка

зачем существует Cross-Origin Resource Sharing?

Чтобы дыр в решете было поменьше.
Отдавай CORS хедеры для нужного ресурса(ов). В чем проблема то?

ritsufag ★★★★★
(20.05.18 14:53:17 MSK)

Ответ на: комментарий от ritsufag 20.05.18 14:53:17 MSK

Жутко раздражает, что этот КОРС нельзя заставить работать для статических страничек на локалхосте. Необходимо поднимать сервер.

То есть как. В Фоксе работает, а в Хроме типа, небезопасно, извините.

Deleted
(20.05.18 14:55:49 MSK)

Ответ на: комментарий от Deleted 20.05.18 14:55:49 MSK

У хрома ключик какой-то есть для отключения проверки.

Vit ★★★★★
(20.05.18 16:23:39 MSK)

Ответ на: комментарий от Vit 20.05.18 16:23:39 MSK

Спасибо, надо посмотреть чего там)

Deleted
(21.05.18 02:44:49 MSK)

Ссылка

Ответ на: комментарий от Deleted 20.05.18 14:55:49 MSK

python -m SimpleHTTPServer 8000

shuck ★★★
(22.05.18 01:00:16 MSK)

Ссылка

Кстати, кто знает реальные примеры обхода? Ну то есть вот у нас api с авторизацией через http-only cookie (чтобы типа токен xss'м не угнали). Мы принимаем только application/json Content-Type и форму к нам не засабмитишь, а ajax запросы все отклоняются. Owasp ссылается только на атаку через flash и 307 редирект. Можно ли надеяться только на CORS хэдеры или в вместе с cookie авторизацией всегда нужны костыли типа csrf токенов? Если нет, то что кроме flash этому препятствует?

anonymous
(29.05.18 09:19:36 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Заготовка/фреймворк/платформа для создания CRUD приложений

Web-development

→

Похожие темы