-2

我有一个domain/logout.php-file 来注销用户。据我了解,黑客可以在他的网站上让受害者使用credentialson 向我的服务器发送 CORS 请求。这会将请求发送到我的服务器,它将注销用户,但是由于我的服务器没有发回正确的标头,因此受害者浏览器将不会显示domain/logout.php.

因此,黑客可以使用 CORS 发送比登出用户更邪恶的请求,但只要服务器不包含正确的 CORS 标头,它就不会得到服务器的响应。

当 W3C 有这个安全漏洞时,为什么它真的实现了这个?

4

1 回答 1

1

我认为您对CORS感到困惑。CORS 标头由服务器发送,不是任何客户端请求的一部分。如果客户支持他们,他们只会解释他们。

其次,如果您正在处理客户端脚本,特别是一般的 jquery 和 javascript ajax,这变得很重要。对于服务器到服务器的通信,任何人都不需要像这样注销您的客户。

对于您的注销表单的任何外部请求,客户端首先必须在“注销”之前登录,否则没有人可以注销。

对于 PHP - PHP 通信,您不需要 CORS。您需要防止未经授权的访问,特别是对于发生数据库操作的区域

于 2013-01-01T16:34:28.020 回答