FixVibe
Covered by FixVibehigh

CORS Hae te whirihora: Morearea o nga kaupapa here Whakaae

Ko te Tiri Rauemi Whakawhiti Taketake (CORS) he tikanga tirotiro i hangaia hei whakangawari i te Kaupapa Here-Tuhinga (SOP). Ahakoa e tika ana mo nga taupānga tukutuku hou, ko te whakatinanatanga hee—penei i te whakahua i te Pane Taketake o te Kaitono me te whakaraarangi ma i te takenga 'null'—ka taea e nga waahi kino te tango i nga raraunga kaiwhakamahi tūmataiti.

CWE-942

Paanga

Ka taea e te kaiwhaiwhai te tahae i nga raraunga tairongo, whakamotuhēhēhia mai i nga kaiwhakamahi o te tono whakaraerae [S2]. Mena ka toro te kaiwhakamahi ki tetahi paetukutuku kino i te wa e takiuru ana ki te taupānga whakaraerae, ka taea e te pae kino te tuku tono whakawhiti-taketake ki te API o te taupānga me te panui i nga whakautu [S1][S2]. Ka taea e tenei te tahae o nga korero motuhake, tae atu ki nga korero a nga kaiwhakamahi, nga tohu CSRF, nga karere motuhake ranei [S2].

Take Putake

Ko te CORS he tikanga e pa ana ki te pane pane HTTP e taea ai e nga kaitoro te tautuhi ko tehea takenga (rohe, kaupapa, tauranga ranei) ka whakaaetia ki te uta rauemi [S1]. Ka puta nga whakaraeraetanga ina he ngawari rawa te kaupapa here CORS o te tūmau, he ngoikore ranei te whakatinana [S2]:

  • Whakaata Pane Taketake: Ka panui etahi o nga kaitoro i te pane Origin mai i te tono a te kiritaki ka whakahoki ano ki te pane whakautu Access-Control-Allow-Origin (ACAO) [S2]. Ma tenei ka taea e tetahi paetukutuku te uru ki te rauemi [S2].
  • Ko nga Kaari Kaari kua hee te whirihora: Ahakoa ka taea e te kaari mohoao * tetahi takenga ki te uru ki tetahi rauemi, kaore e taea te whakamahi mo nga tono e hiahia ana nga tohu (penei i nga pihikete me nga pane Whakamanatanga) [S3]. He maha nga wa ka ngana nga Kaihanga ki te karo i tenei ma te whakaputa hihiri i te pane ACAO i runga i te tono [S2].
  • Kei te Whakamaa i te 'null': Ko etahi o nga tono ka whakarārangihia te takenga null, ka taea te whakaohohia e nga tono kua tukuna atu, i nga konae rohe ranei, ka taea e nga waahi kino te huna hei takenga null kia uru atu ki te ZXCVFIXVIBETOKVIZBE2CVXVKVKV.
  • Nga Hapa Pariha: Ko nga hapa i roto i te regex, i te taurite aho ranei i te wa e whakamana ana i te pane Origin ka taea e nga kaiwhaiwhai te whakamahi i nga rohe penei i te trusted-domain.com.attacker.com [S2].

He mea nui kia mahara ko te CORS ehara i te whakamarumaru mai i te Whakawhitinga Paetukutuku Tono Peke (CSRF) [S2].

Whakatika Raima

  • Whakamahia he Rarangi Maamaa: A ape i te whakaputa hihiri i te pane Access-Control-Allow-Origin mai i te pane Origin o te tono [S2]. Engari, whakatairitehia te takenga mai o te tono ki tetahi rarangi whakawaeherehere o nga rohe whirinaki [S3].
  • A ape i te 'null' Takenga: Kaua rawa e whakaurua te null ki to rarangi ma o nga takenga mai [S2].
  • Whakawhāitihia nga Taipitopito: Whakaritea Access-Control-Allow-Credentials: true anake mehemea e tika ana mo te tauwhitinga whakawhiti-taketake motuhake [S3].
  • Whakamahia te Whakamana Tika: Mena me tautoko koe i nga takenga maha, me whakarite kia pakari te arorau whakamana mo te pane Origin, a, kaore e taea e nga rohe-roto, nga rohe rite-rite ranei [S2].

Me pehea te whakamatautau a FixVibe

Ko te FixVibe kei roto i tenei waa he haki hohe kuaha. Whai muri i te manatokonga rohe, ka tukuna e active.cors nga tono API kotahi-takenga mai me te takenga mai o te tangata whakaeke me te arotake i nga pane whakautu CORS. E whakaatu mai ana i te takenga mai, CORS whaimana, me te CORS tuwhera whanui i runga i nga tohu mutunga API i te wa e karo ana i te haruru rawa a te iwi.