¿Se pueden enviar los encabezados de origen con las variables de obtención o la url completa?

0

Una aplicación en la que estoy trabajando responde a un encabezado de origen de comodín estableciendo Access-Control-Allow-Origin en subdomain.app.com si termina con .app.com .

Sin embargo, si agrego .app.com a una variable GET, como se muestra a continuación:

Origin: example.com?q=.app.com

responde con lo siguiente:

Access-Control-Allow-Origin: example.com?q=.app.com

Esto es vulnerable si los navegadores pueden configurarse para pasar la variable GET o la URL completa.

Me pregunto si algunos navegadores enviarán el encabezado Origin junto con toda la URL, o si JavaScript puede configurarse para permitir esto. Desde mi prueba, Chrome / Firefox configuró el encabezado de Origen como solo para el tld, ¿alguien sabe si esta configuración es vulnerable?

    
pregunta 0lly 06.12.2017 - 02:42
fuente

1 respuesta

1

Origin es un Nombre de encabezado prohibido , y un agente de usuario que cumple con los estándares solo debe enviar el dominio Nombre en el encabezado de origen. No se pueden modificar mediante programación en navegadores compatibles con los estándares. Tenga en cuenta que los agentes de usuario que no intentan cumplir con los estándares, como curl, o los navegadores muy antiguos antes de que se escribiera la especificación, pueden no aplicar esta restricción.

    
respondido por el Lie Ryan 06.12.2017 - 02:57
fuente

Lea otras preguntas en las etiquetas