Formas de evitar la política CORS de los navegadores

Navega tus respuestas
1

Hoy estuve preparando una API de Json Rest; la API necesita un encabezado específico para ser enviado: - Content-Type: application / json que no permite ataques CSRF.

La única opción que me quedó fue enviar solicitudes de dominio cruzado ya que no hay un conjunto de políticas CORS. Sin embargo, al intentar enviar POST xhr con el encabezado "tipo de contenido", el navegador envía la solicitud de OPCIONES al punto final y desencadena un 403 que no permite la POST. He intentado omitir esto utilizando texto sin formato y otros encabezados, pero ninguno de ellos parece funcionar.

¿Tiene alguna idea sobre cómo proceder con esto? He oído que el envío del mismo a través de un archivo SWF funcionaría, pero tengo que probarlo.

    
pregunta StackB00m 17.04.2017 - 20:54
fuente

1 respuesta

3

Puede usar siguientes tipos de contenido sin acceso CORS:

  • application / x-www-form-urlencoded
  • multipart / form-data
  • texto / plano

Puedes probar un par de cosas:

  • Intente enviar JSON válido con otro tipo de contenido. Algunas implementaciones no miran el tipo de contenido.
  • Intente enviar datos de formulario válidos con el tipo de contenido correcto. Algunas implementaciones aceptan varias formas de enviar los datos.

Si la aplicación realmente necesita el tipo de contenido de aplicación / json, no es posible enviar una solicitud de origen cruzado.

    
respondido por el Sjoerd 17.04.2017 - 21:40
fuente

Lea otras preguntas en las etiquetas

¿Puede el malware adjuntarse a los archivos de usuario? ¿Cuáles son las implicaciones de usar un algoritmo DNSSEC "inseguro" como RSA / MD5?