なぜXMLHttpRequestのための同一生成元ポリシー
https://stackoverflow.com/questions/1830050
-
11-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
なぜブラウザは、XMLHttpRequestのに同一生成元ポリシーを適用していますか?これは、開発者にとって本当に不便だが、それが実際に停止ハッカーではほとんどありません表示されます。 回避策がありますが、彼らはまだ外部ソース(JSONPの背後にあるパワー)からJavaScriptを含めることができます。
これは、主として連結のWebで時代遅れの「機能」のように思える。
解決
XMLHttpRequestが、ユーザーの認証トークンを渡しているので。ユーザーは基本認証またはいくつかのクッキーをexample.comにログオンした場合attacker.comを訪れ、その後、後者のサイトは、そのユーザのための完全な承認とexample.comへのXMLHttpRequestを作成し、ユーザーが(そしてできるとプライベートのページを読むことができます)バック攻撃者にそれを転送します。
は、Webアプリケーションのページで秘密のトークンを置くことは、単純なクロスサイト・リクエスト・フォージェリ攻撃を阻止するための方法ですので、これはattacker.comが任意の同意または相互作用からなしexample.comで、ユーザは可能性のあるページ上のアクションを実行できることを意味しますそれら。グローバルXMLHttpRequestがグローバルクロスサイトスクリプティングです。
(あなたが認証に合格しなかったのXMLHttpRequestのバージョンを持っていたとしても、問題が残っています。たとえば、攻撃者がイントラネット上の他の非公共のマシンに出要求を作成し、それが彼らからダウンロードすることができます任意のファイルを読み取ることができこれは公共の消費のために意図されないことがあります。<script>タグすでに脆弱性のこの種の限定された形に苦しむが、XMLHttpRequestのの、完全に読み取り可能な応答ファイルのすべての種類の代わりに、JavaScriptのように解析することができ、いくつかの不運に細工されたものをリークします。)
