Preguntas con etiqueta 'cors'

preguntas con etiqueta
2
respuestas

¿Cuáles son los riesgos de seguridad de habilitar Cors en localhost?

Tengo una aplicación móvil basada en Cordova que está llegando a alguna API a través de un servidor local en el móvil. La aplicación móvil establece el origen como Localhost. Aquí surge el corsé y no puedo hacer la solicitud. Ahora estas API se...
hecha 06.04.2017 - 20:51
2
respuestas

¿Cómo se protege el origen en nulo en una solicitud CORS redirigida contra un ataque de agente confuso?

Extracto de Aquí :    Si un recurso de origen cruzado redirige a otro recurso en un nuevo origen, el navegador establecerá el valor del encabezado de Origen en nulo después de la redirección. Esto evita ataques adicionales de agentes confuso...
hecha 19.10.2017 - 17:10
1
respuesta

¿Devuelve Access-Control-Allow-Origin: * debilita la seguridad de las respuestas JSON GET?

La recomendación CORS del W3C dice:    Ciertos tipos de recursos no deben intentar especificar   determinados orígenes autorizados, sino que denegar o permitir   Todos los orígenes.       ...       3. Una respuesta GET cuyo cuerpo de enti...
hecha 16.10.2013 - 12:23
1
respuesta

¿Son necesarias políticas restrictivas del mismo origen?

La pregunta es para que la comunidad de seguridad resuelva algunos malentendidos aquí . El quid: La compañía (Wire) tiene un cliente (official-client.com) y un código de servidor (por ejemplo, official-server.com). CORS actualmente per...
hecha 16.02.2018 - 17:56
1
respuesta

¿Se necesita CORS en algún aspecto de la autenticación OAuth / OpenIDConnect?

Estoy observando la autenticación OpenIDConnect y tratando de determinar si "CORS simple" o "CORS complejo" alguna vez se aprovecha durante la autenticación o autorización. Background Un CORS simple (sin verificación previa) implica: Mét...
hecha 28.12.2016 - 03:08
1
respuesta

¿Las solicitudes de 'conocimiento cero' serían una extensión segura de SOP / CORS?

Según tengo entendido, existe la Política del mismo origen para evitar solicitudes autenticadas de otros orígenes. Entonces, cuando un malvado construye un sitio web malvado que intenta secuestrar la autenticación activa de mis clientes para...
hecha 15.12.2016 - 15:18
2
respuestas

¿Cómo uso CORS correctamente con OpenID Connect?

Parece que hay una serie de preguntas en varios blogs, sitios de Q & A y comentarios que plantean variantes de la pregunta:    ¿Cómo uso CORS correctamente con OpenID Connect? El contexto de estas preguntas generalmente se aplica a un...
hecha 09.02.2017 - 16:07
1
respuesta

¿Es seguro usar CORS para implementar el SSO?

Implemento SSO para integrar algún mecanismo de inicio de sesión web al sistema miembro centralizado que es el proveedor OAuth2. Y actualmente la autorización OAuth2 funciona bien. Sin embargo, me gustaría implementar métodos de inicio de ses...
hecha 22.05.2018 - 04:42
1
respuesta

¿Cómo explotar una política CORS mal configurada cuando se requiere un token de autorización por usuario?

Recientemente obtuvimos una API para auditoría de seguridad. Los encabezados CORS de la API parecen estar mal configurados, ya que cuando intentamos solicitar el punto final con http://attacker.com como origen, el servidor devolvió lo sig...
hecha 07.02.2017 - 12:38
1
respuesta

¿La API REST de Wordpress con CORS habilitado representa un riesgo de seguridad?

Después de una inspección de seguridad de un sitio que ejecuta Wordpress con una API REST, el escáner marcó la ruta / wp-json / como una vulnerabilidad debido a una política CORS muy flexible que permite a terceros interactuar con el servicio. S...
hecha 19.12.2016 - 05:20