CORS跨域资源共享漏洞

概要

跨域限制最主要的功能就是为了用户的上网安全。 如果没有浏览器同源策略,那么就很容易发生一些安全事件

0x01 跨域限制的作用

跨域限制最主要的功能就是为了用户的上网安全。

如果没有浏览器同源策略,那么就很容易发生一些安全事件

例如:

在用户无感知的情况下,获取用户数据

0x02 CORS请求类别

• 简单请求（simple request）
• 非简单请求（not-so-simple request）

简单请求分辨方法

只要同时满足以下两大条件，就属于简单请求

一、 请求方法是以下三种方法之一：

1. HEAD
2. GET
3. POST

二、HTTP的头信息不超出以下几种字段：

1. Accept
2. Accept-Language
3. Content-Language
4. Last-Event-ID
5. Content-Type：只限于三个值 application/x-www-form-urlencoded、multipart/form-data、text/plain,这个简单的意思就是说,设置了一个白名单,符合这个条件的才是简单请求。其他不符合的都是非简单请求

非简单请求

只要不能同时满足上面的两个条件就通通属于非简单请求