Preguntas con etiqueta 'cors'

2
respuestas

¿Por qué es necesario el encabezado Access-Control-Allow-Origin?

Entiendo el propósito de Access-Control-Allow-Credentials encabezado , pero no puede ver qué problema resuelve el encabezado Access-Control-Allow-Origin . Más precisamente, es fácil ver cómo, si las solicitudes AJAX entre domini...
hecha 10.10.2013 - 19:11
4
respuestas

¿Cors está ayudando de alguna manera contra la falsificación entre sitios?

He estado leyendo en los últimos días sobre CORS y en muchos lugares, se menciona porque es una característica de "Seguridad" para ayudar al mundo desde la falsificación de dominios cruzados. Todavía no veo el beneficio y el razonamiento de C...
hecha 26.08.2015 - 13:30
3
respuestas

Si nunca quiero que se acepten solicitudes de origen cruzado, ¿puedo ignorar CORS?

La especificación CORS indica que si un método de solicitud y encabezados no son simple luego se envía una solicitud de OPCIONES HTTP de verificación previa para ver si la solicitud está permitida por el servidor. Mi servidor no responde co...
hecha 27.08.2012 - 20:43
2
respuestas

Access-control-allow-origin: * con un token de portador

Al probar una aplicación de una sola página, he identificado que los puntos finales REST devuelven encabezados CORS que permiten el acceso entre dominios: access-control-allow-credentials: true access-control-allow-methods: GET, POST, DELETE,...
hecha 23.06.2016 - 16:47
1
respuesta

¿Por qué un "lienzo contaminado" es un riesgo?

Comprendo la preocupación por un lienzo contaminado: la idea de que los bits de una imagen de otro sitio pueden enviarse de nuevo a un servidor malintencionado. Pero, ¿puedes explicar los detalles de cómo funciona exactamente esto? Supongamos...
hecha 09.02.2018 - 03:05
2
respuestas

¿Es peligroso enviar “Access-Control-Allow-Origin: http: // localhost: 8888”?

Recientemente encontré los siguientes encabezados HTTP en un sitio que al menos podrían describirse como un objetivo de alto valor: Access-Control-Allow-Origin: http://localhost:8888 Access-Control-Allow-Methods: POST, GET, PUT, DELETE, OPTION...
hecha 28.12.2016 - 13:30
2
respuestas

¿Existe algún riesgo al habilitar CORS con un comodín en S3?

De forma predeterminada, Amazon S3 bloquea las solicitudes de origen cruzado. Sin embargo, permite a los usuarios la posibilidad de configurar políticas CORS por grupo. Ofrece controles bastante elaborados para los dominios y métodos que el usua...
hecha 27.08.2013 - 23:29
1
respuesta

Verificación hash iFrame secundaria del contenido iFrame principal

Considere el siguiente escenario: Alice desea navegar por el sitio web de Victor mientras trabaja en Initech. El sitio web de Victor está alojado en un sistema de nombres de dominio alternativo al que el DNS de Initech no se compara. Eve (que...
hecha 05.09.2013 - 01:17
1
respuesta

Variar: encabezado de respuesta de origen y explotación de CORS

Recientemente, PortSwigger (los que están detrás de Burp Suite) publicaron una publicación en el blog que analizaba los riesgos de seguridad asociados con las configuraciones erróneas de CORS. enlace En resumen, el blog habla sobre forma...
hecha 17.02.2017 - 21:20
2
respuestas

Si una solicitud CORS no necesita autenticación, ¿por qué no puedo enviarla sin las cookies?

Muchas veces durante los últimos N años, he necesitado mi propia página (ABC.com) para obtener algunos datos de un origen diferente (XYZ.com) y mostrarlos (todo en JavaScript, sin recuperación del servidor). Esto no funciona porque XYZ.com no...
hecha 21.02.2017 - 22:02