FixVibe
Covered by FixVibehigh

CORS diso fanamboarana: Loza amin'ny politika mamela heloka be loatra

Cross-Origin Resource Sharing (CORS) dia rafitra mpitety tranonkala natao hanalefahana ny Same-Origin Policy (SOP). Na dia ilaina amin'ny fampiharana an-tranonkala maoderina aza, ny fampiharana tsy araka ny tokony ho izy—toy ny fananako ny lohatenin'ny Origin'ny mpangataka na ny fanaovana lisitra fotsy ny fiavian'ny 'null'—dia afaka mamela ireo tranonkala maloto hamoaka ny angon-drakitra mpampiasa manokana.

CWE-942

Fiantraikany

Ny mpanafika dia afaka mangalatra angon-drakitra saro-pady sy voamarina avy amin'ny mpampiasa ny rindranasa marefo [S2]. Raha misy mpampiasa mitsidika vohikala maloto rehefa miditra amin'ny rindranasa vulnerable, dia afaka manao fangatahana miampita fiaviana amin'ny API an'ilay fampiharana ary mamaky ny valiny [S1][S2]. Mety hitarika amin'ny fangalarana fampahalalana manokana izany, ao anatin'izany ny mombamomba ny mpampiasa, ny marika CSRF, na ny hafatra manokana [S2].

Antony fototra

CORS dia rafitra mifototra amin'ny lohatenin'ny HTTP izay ahafahan'ny mpizara mamaritra izay fiaviana (sehatra, rafitra, na seranana) avela hampiditra loharano [S1]. Matetika dia mipoitra ny vulnerability rehefa miovaova loatra na tsy azo ampiharina ny politika CORS an'ny mpizara [S2]:

  • Lohatenin'ny Origin Reflected: Mamaky ny lohatenin'ny Origin avy amin'ny fangatahan'ny mpanjifa ny mpizara sasany ary mamerina izany ao amin'ny lohatenin'ny valin'ny Access-Control-Allow-Origin (ACAO) [S2]. Izany dia ahafahan'ny tranonkala rehetra miditra amin'ny loharano [S2].
  • Karatra saro-piaro diso: Raha ny * dia mamela ny fiaviana rehetra hiditra amin'ny loharano iray, dia tsy azo ampiasaina amin'ny fangatahana izay mitaky fahazoan-dàlana (toy ny cookies na lohatenin'ny Fanomezana) [S3]. Matetika ny mpamorona dia manandrana mandingana an'io amin'ny alàlan'ny famoronana mavitrika ny lohatenin'ny ACAO mifototra amin'ny fangatahana [S2].
  • Misy lisitry ny 'null': Ny fampiharana sasany dia manao lisitra fotsy ny fiavian'ny null, izay azo ateraky ny fangatahana navitrika na rakitra eo an-toerana, mamela ny tranokala maloto hadika ho toy ny fiaviana null hahazoana fidirana amin'ny null mba hidirana amin'ny null.
  • Hadisoana amin'ny famakafakana: Ny lesoka amin'ny regex na tady mifanandrify rehefa manamarina ny lohatenin'ny Origin dia ahafahan'ny mpanafika mampiasa sehatra toa an'i trusted-domain.com.attacker.com [S2].

Zava-dehibe ny manamarika fa ny CORS dia tsy fiarovana amin'ny Cross-Site Request Forgery (CSRF) [S2].

Fanamboarana simenitra

  • Mampiasà Lisitra Fotsy Statis: Fadio ny mamorona ny lohapejy Access-Control-Allow-Origin avy amin'ny lohatenin'ny fangatahana Origin [S2]. Ampitahao kosa ny fiavian'ny fangatahana amin'ny lisitry ny sehatra azo antoka [S3].
  • Ialao ny Fiaviana 'null': Aza ampidirina mihitsy ny null ao amin'ny lisitra fotsy misy ny fiaviana navela [S2].
  • Mametra ny fahazoan-dàlana: Mametraha Access-Control-Allow-Credentials: true ihany raha tena ilaina amin'ny fifampiraharahana miampita fiaviana manokana [S3].
  • Mampiasà Fanamarinana mety: Raha tsy maintsy manohana fiaviana maro ianao dia ataovy izay hahazoana antoka fa matanjaka ny lojika fanamarinana ho an'ny lohatenin'ny Origin ary tsy azon'ny zana-tohatra na sehatra mitovy endrika [S2].

Ahoana no andrana FixVibe momba izany

FixVibe izao dia ahitana izany ho fisavana mavitrika misy vavahady. Aorian'ny fanamarinana sehatra, active.cors dia mandefa fangatahana API mitovy fiaviana miaraka amin'ny fiaviana mpanafika sentetika ary mamerina ny lohatenin'ny valin'ny CORS. Izy io dia mitatitra taratry ny fiaviana tsy manara-dalàna, CORS nahazo mari-pankasitrahana, ary CORS misokatra malalaka amin'ny API tsy an'ny besinimaro ary misoroka ny tabataban'ny fananam-bahoaka.