把所有 POST 请求都换成 PUT,不返回允许非同源请求的响应头,是否就不需要考虑 CORS 攻击了?

127 天前
 drymonfidelia
5234 次点击
所在节点    信息安全
42 条回复
harryWebb
127 天前
如果从非主流的角度讲。。。确实是这样的
毕竟很多黑客攻击只是针对特定情况下的扫描,扫描到了才会进行下一步渗透
你直接不按常理出牌,估计除非是针对性的,不然肯定就可以忽略了
CodeCodeStudy
127 天前
不是吧,CORS 保护的是浏览器,跟什么请求方法没有关系啊
drymonfidelia
127 天前
@CodeCodeStudy dorm 表单不能提交 put
drymonfidelia
127 天前
form 打错了
Ayanokouji
127 天前
建议重新看下 cors 那篇帖子
drymonfidelia
127 天前
@Ayanokouji 不发跨域响应头+非 get/post 就不是简单请求
lambdaq
127 天前
这个思路。。。6 。。。。。
paopjian
127 天前
我学艺不精,不太清楚 CORS 攻击,这好像就是封闭本服务器啊,也就是不返回 Access-Control-Allow-Origin,只自己玩不让别的网站请求,和有没有 PUT 关系不大
drymonfidelia
127 天前
别人网站请求你网站非简单请求会先预检,你对预检请求不返回 Access-Control-Allow-Origin 就通不过预检,实际请求无法发送
elboble
127 天前
cors 攻击和 put ,post 没直接关系吧
dzdh
127 天前
CORS 不存在"攻击"吧。

服务端直接对你发起请求,那你怎么做都没用

浏览器对你发起请求,只要你不返回对应头,那请求也根本发不成功,也没什么用。


除非你特意设置,允许跨域。否则,你就是不允许,那浏览器就不会给你发跨域请求。
elboble
127 天前
我是记得原来讨论是不是所有请求都变成 post ,过滤其他所有行为才是最安全。
helone
127 天前
你想说的是不是 CSRF 攻击
belin520
127 天前
所以 CORS 那个帖子居然说对了
ZeekChatCom
127 天前
这种其实就是 Access-Control-Allow-Origin 设置不合理,导致用户在访问恶意网站的时候,浏览器会偷偷发起对受害网站的访问,从而实现盗取个人敏感信息或者刷票等行为。
kxg3030
127 天前
上面分两拨人,一拨是在思考 cors 跨域为什么会有攻击,一拨在思考 put 请求为什么就不会造成 csrf 攻击,这个帖子成功把 cors 和 csrf 混在了一起,只能说世界就是个草台班子...
kxg3030
127 天前
@ramirezyolis808 你要不先看看你在说什么
fiveStarLaoliang
127 天前
哈哈哈哈哈,鸡同鸭讲
shadowyue
127 天前
该继续宣传草台班子理论了😂

https://www.v2ex.com/t/1056504?p=1#reply269
ZeekChatCom
127 天前
@raviscioniemeche 所以呢?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1057881

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX