Featured image of post 跨域资源共享漏洞
midware

跨域资源共享漏洞

一、前言

跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。

对于一个应用系统这是不安全的,漏扫也可能会被扫出来漏洞。

二、解决方案

2.1 Openresty方案

如果对外是使用的nginx,则只需要在nginx上面配置即可。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

#设置CORS策略,只允许来自https://example.com的跨域请求
location / {
   if ($http_origin != "https://example.com") {
      return 403;
   }
   
   add_header 'Access-Control-Allow-Origin' 'https://example.com' always;
   add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always;
   add_header 'Access-Control-Allow-Headers' 'Authorization,Content-Type,Accept' always;
   add_header 'Access-Control-Allow-Credentials' 'true' always;
   
   proxy_hide_header Access-Control-Allow-Origin;
   proxy_hide_header Access-Control-Allow-Methods;
   proxy_hide_header Access-Control-Allow-Headers;
   proxy_hide_header Access-Control-Allow-Credentials;
   
   # OPTIONS请求直接返回空响应体
   if ($request_method = 'OPTIONS') {
      add_header 'Content-Length' 0;
      add_header 'Content-Type' 'text/plain; charset=utf-8';
      return 204;
   }
   
   # 其他操作
}

2.2 Tomcat方案

  • 如果你是直接使用tomcat,在tomcat的web.xml(<tomcat路径>/conf/web.xml)中增加如下内容:
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

    <welcome-file-list>
        <welcome-file>index.html</welcome-file>
        <welcome-file>index.htm</welcome-file>
        <welcome-file>index.jsp</welcome-file>
    </welcome-file-list>

    <!-- 这一行往上都不要动,在welcome-file-list后面添加如下内容 -->
    <!-- The CORS filter definition -->
    <filter>
        <filter-name>CORS</filter-name>
        <filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>
        <init-param>
            <param-name>cors.allowOrigin</param-name>
            <!-- <param-value>*</param-value> -->
            <!-- 允许访问的网站,多个时用逗号分隔 -->
            <param-value>http://examples.com,https://examples111.com</param-value>
        </init-param>
        <init-param>
            <param-name>cors.exposedHeaders</param-name>
            <param-value>Set-Cookie</param-value>
        </init-param>
        <init-param>
            <param-name>cors.supportsCredentials</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>

    <!-- The CORS filter mapping -->
    <filter-mapping>
        <filter-name>CORS</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

  • 在tomcat的lib(<tomcat路径>/lib)下面增加两个jar:

    • cors-filter
    • java-property-utils

  • 重启tomcat