CORS 가 무엇 입 니까?
CORS 가 무엇 입 니까?
CORS 는 W3C 기준 으로 '크로스 - origin resource sharing' (Cross - origin resource sharing) 이 라 고 불 린 다.
브 라 우 저가 크로스 소스 서버 에
XMLHttpRequest 요청 을 할 수 있 도록 해 AJAX 가 같은 소스 로 만 사용 할 수 있 는 제한 을 극복 했다.학습 자료
[도 메 인 간 자원 공유 CORS 상세 설명]http://www.ruanyifeng.com/blog/2016/04/cors.html
CORS 와 CSRF 의 차이
CSRF 란 무엇 인가
CSRF 주류 방어 방식 은 백 엔 드 에서 폼 을 생 성 할 때 무 작위 token 을 생 성하 여 폼 에 내 장 된 필드 를 만 드 는 동시에 이 token 을 session 에 넣 는 것 이다.매번 양식 이 백 엔 드 에 제출 될 때마다 이 두 값 이 일치 하 는 지 확인 하여 이번 양식 제출 이 믿 을 만 한 지 판단 한다.한 번 제출 한 후 이 페이지 에 CSRF token 이 생 성 되 지 않 으 면 token 이 비 워 지고 새로운 요구 사항 이 있 으 면 token 이 업 데 이 트 됩 니 다.
공격 자 는 POST 폼 을 위조 해 제출 할 수 있 지만 백 엔 드 에 생 성 된 폼 이 내 장 된 token 이 없 으 며, session 에 token 이 있 든 없 든 소 용이 없다.
이미 동원 전략 이 있 는 이상 CSRF 보호 가 필요 합 니까?
"form 과 Ajax 가 시작 하 는 POST 요청 은 모두 CORS 의 제한 을 받 기 때문에 지수 가 아 닌 요청 이 GET 가 아니면 CSRF 를 예방 할 수 있다" 는 잘못된 이 해 를 가지 고 있 었 습 니 다. 그리고 저 는 오늘 에 야 원래 form 이 시작 하 는 POST 요청 은 CORS 의 제한 을 받 지 않 기 때문에 다른 도 메 인 쿠키 로 다른 도 메 인 에 POST 요청 을 보 내 CSRF 공격 을 할 수 있다 는 것 을 알 게 되 었 습 니 다.
이 내용에 흥미가 있습니까?
현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:
다양한 언어의 JSONJSON은 Javascript 표기법을 사용하여 데이터 구조를 레이아웃하는 데이터 형식입니다. 그러나 Javascript가 코드에서 이러한 구조를 나타낼 수 있는 유일한 언어는 아닙니다. 저는 일반적으로 '객체'{}...
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.
좋은 웹페이지 즐겨찾기
