是否存在从HTTP到HTTPS发出CORS请求的安全性问题?
是否存在从HTTP到HTTPS发出CORS请求的安全性问题?
提问于 2016-09-08 15:36:59
我有一个我已经确认只能通过HTTPS访问的服务器。如果使用HTTP的可信网站向HTTPS端点发出CORS请求,我是否应该担心?
提前感谢你的帮助。
回答 1
Stack Overflow用户
回答已采纳
发布于 2016-09-08 16:03:53
是的,它是不安全的:如果您域的http网页可以读取您域的https网页的答案,那么通过修改http网页,攻击者可以。
即使用户不访问您的网站!攻击者使用任何使用http的网站包含您网站的http iframe,修改内容以强制将CORS请求发送到https网页,并将答案发送给攻击者。
“使用http的受信任网站”:它可能是由CORS“信任”(白名单),但一个http网页不能被信任。
TL;DR:到处使用https,否则就会犯削弱安全性的错误.
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/39395088
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号