Веб-запрос CORS через прокси является брешей в безопасности?

Question

Веб-запрос CORS через прокси является брешей в безопасности?

Я вижу, что мы не можем сделать прямой веб-запрос к веб-серверу через другой домен, когда CORS не включен.

Однако есть несколько способов сломать эту безопасность (например, с использованием прокси), и эти настройки работают как шарм.

Недавно у меня была похожая проблема, я хотел использовать веб-сервис, который мне не принадлежит. Также они отключили междоменные запросы, но я следил за этой статьей, и это позволило мне использовать сервис!

Мы можем использовать услугу, которая была разработана и размещена кем-то для использования в личном домене (отключив CORS). Разве это не серьезное нарушение безопасности?

Как мы можем быть уверены, что если я отключу CORS на своем REST INTERFACE, никто не сможет его настроить и использовать?

2

cors cross-domain webrequest proxies cors-anywhere

Источник

user1089622 14 фев '18 в 13:16

1 ответ

Другие вопросы по тегам cors cross-domain webrequest proxies cors-anywhere

user1533523 22 фев '23 в 14:10 2023-02-22 14:10 · Answer 1 · 2023-02-22 14:10

CORS не предназначен для того, чтобы люди не могли вызывать API.

CORS предназначен для предотвращения прикрепления учетных данных, которые могут быть использованы для автоматической атаки на службу.

Если я звоню на google.com/secret-service, то обычно мой файл cookie авторизации google.com автоматически прикрепляется, и служба вызывается с моими учетными данными.

Если я звоню на proxy.com/secret-service, мой файл cookie google.com не прикрепляется. Теперь приложение должно пройти аутентификацию и продемонстрировать, что ему действительно разрешено вызывать google.com/secret-service.