飞社-令人惊奇的创意工作者社区-首页信息安全把所有 POST 请求都换成 PUT,不返回允许非同源请求的响 ...
FSHEX=FIND+SHARE+EXPRESS
飞社-令人惊奇的创意工作者社区- 是一个关于发现分享表达的地方
现在登录
没有账号?  立即注册

把所有 POST 请求都换成 PUT,不返回允许非同源请求的响应头,是否就不需要考虑 CORS 攻击了?

drymonfidelia · 2024-7-17 08:41:23 · 389 次点击
RT
举报· 389 次点击
登录 注册 站外分享
显示全部 | 最早评论
30 条回复  
31#
echoZero 小成 2024-7-18 10:41:48
参考 OWASP csrf 攻击防御 https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html#disallowing-simple-requests
合理的利用 CORS 预检请求,确实是一种防御方式。但是必须要保证 cors 的配置正确性
30#
NUUUUULL 小成 2024-7-18 10:40:01
单浏览器维度不允许跨域就会有跨站请求
29#
oyps 小成 2024-7-17 23:51:17
避免 CSRF 攻击的方法:
1. 避免在 GET 请求中进行状态改变操作
2. 避免直接根据 URL 参数执行敏感操作
3. 增加 CSRF token 校验,确保请求合法
4. 设置允许访问的来源白名单
28#
euronx 小成 2024-7-17 19:22:27
CSRF 和 put 有啥关系?
27#
lovelylain 小成 2024-7-17 18:27:28
post 换成 put 有什么区别?
26#
DOLLOR 小成 2024-7-17 16:16:41
其实 HTTP 方法不一定是 GET 、POST 、PUT 、HEAD 、OPTIONS 这些,你完全可以凭喜好自定义一个偏门的单词作为请求方法。🤣

https://imgur.com/66sccjK
https://i.imgur.com/66sccjK.jpeg
25#
hahiru 小成 2024-7-17 15:29:00
朕决定了,荣登大宝之后一定要把该死的首字母缩写都砍了。
24#
kkk9 初学 2024-7-17 13:47:03
@fiveStarLaoliang #18 @shadowyue #19 像极了甲方乙方开对接会议😆😇😇😇
23#
deplives 小成 2024-7-17 13:27:37
看标题看的我一愣一愣的,愣是没想通跨域能发起啥攻击。
看楼中评论竟然还一本正经的讨论起来了,后来发现 你说的其实是 CSRF
连 CSRF(跨站伪造请求) 和 CORS (跨域) 都分不清,就别发起讨论了。
22#
Terry05 小成 2024-7-17 13:24:06
这么多打错。。。
下一页 »
123下一页
手机版小黑屋飞社-令人惊奇的创意工作者社区
Powered by FSHEX ♥ GMT+8, 2024-11-28 10:40, Processed in 0.105268 second(s), 26 queries .
鲁ICP备2024064694号-2
返回顶部