详细聊聊跨源和跨站的安全问题

写在前面

chrome要慢慢的强制禁止第三方cookie,由于这个涉及到cookie隐私安全性的。就想到与cookie强相关的跨域和跨站的问题。

跨站(Cross Site)

跨站顾名思义就是两个站之间的访问,经过A去访问B。

假如现在有一个站点A:www.example.top:443 ,那么关于跨站关系参考下表

站点B 表现 是否跨站
www.remex.com:443 不同域名 跨站
test.example.top:443 子域名不同 同站
www.example.top:443 协议不同 跨站
example.top:443 www缺省 同站
www.example.top:8080 端口不同 同站

基本可以理解为,协议相同,二级域名相同就可以被认为是同站。

跨源(Cross Origin)

源即来源,与站类似却又不同的概念。

假如现在有一个站点A:www.example.top:443 ,那么关于跨站关系参考下表

站点B 表现 是否跨站
www.remex.com:443 不同域名 跨源
test.example.top:443 子域名不同 跨源
www.example.top:443 协议不同 跨源
example.top:443 www缺省 跨源
www.example.top:8080 端口不同 跨源
www.example.top:443 完全匹配 同源
www.example.top 默认端口缺省 同源

可以看到,跨源更为严格,必须协议、域名、端口完全匹配才被认定为同源。

安全问题

知道跨站和跨域的概念,我们来简单说一下安全问题。

跨站有CSRF(即,跨站请求伪造),跨域有CORS(即,跨域资源共享)。本质上,他俩都是通过窃取用户Cookie凭证,来去伪造该用户做一些相关操作。

CSRF

因为浏览器的机制,你登陆过的站点浏览器会把你的凭证Cookie给存储下来,当你再次访问的时候避免二次登录,直接从浏览器存储中取出来放至会话中,CSRF就是用了这个逻辑。

假如某个站点A未作安全校验,通过伪造站点B的方式,诱导你点击,来向你登陆过的某个站点发起请求,达到在你不知情的情况下进行修改数据的操作,比如修改密码。此时,你从恶意站点B被偷偷向站点A发起攻击者构造好的请求,便是跨站请求伪造。

CORS

而跨域资源共享,则是在Chrome之前推出的SOP(同源策略)基础上,由于配置不当导致的信息泄露的问题。SOP本质上限制的都是JS发起的请求,form表单并不在限制范围内。

当推出SOP策略后,由于网站本身有很多跨源的需求,比如加载第三方link等等,所以谷歌也是给出了解决方案即CORS,允许你去配置CORS策略来共享一些跨源的资源。但是,由于配置不当,比如来源限制为*(通配符,即任意),那么就可能造成预料之外的安全问题。

比如,站点A在获取用户信息处未配置好严格的CORS策略,那么攻击者可以伪造恶意站点B,向站点A的获取用户信息处通过前端JS发起异步请求,并获取信息存储。用户在登录过的站点A有过登录态,cookie被浏览器存储之后,访问站点B,那么该用户又被偷偷向站点A发起了异步请求,这个阶段浏览器会自动带上A的Cookie,这是浏览器的特性,从而获取用户信息。

假定站点A不存在CORS配置错误,严格限制来源,那么从站点B到站点A就是一个跨源请求,是不可能成功的,是会被浏览器阻断的。但是配置错误为*,就代表默认允许所有来源访问,那么就会出问题。

防范

先说CORS,SOP的策略在一定程度上保护了用户的Cookie被跨站传输恶意利用,只要严格限制CORS,那么在chrome中跨源传输cookie是不可能。

但是,CORS仅仅只能限制住由JS发起的异步请求,而CSRF使用的是form表单是不受CORS限制的。那么怎么防范呢?

在Http数据包中有一个Referer字段,假如通过B向A发起请求时,Referer即来源就是B的域名,所以粗暴的方式就是判断来源域名,或者更安全的一点是关键接口生成随机token,每次都不一样对token进行验证,即http请求中常见的csrf_token,这样的话就可以有效避免CSRF了。

相关推荐
周亚鑫6 分钟前
vue3 pdf base64转成文件流打开
前端·javascript·pdf
ac-er888818 分钟前
MySQL如何实现PHP输入安全
mysql·安全·php
Justinc.23 分钟前
CSS3新增边框属性(五)
前端·css·css3
neter.asia39 分钟前
vue中如何关闭eslint检测?
前端·javascript·vue.js
~甲壳虫39 分钟前
说说webpack中常见的Plugin?解决了什么问题?
前端·webpack·node.js
嚣张农民1 小时前
JavaScript中Promise分别有哪些函数?
前端·javascript·面试
光影少年1 小时前
vue2与vue3的全局通信插件,如何实现自定义的插件
前端·javascript·vue.js
As977_1 小时前
前端学习Day12 CSS盒子的定位(相对定位篇“附练习”)
前端·css·学习
susu10830189111 小时前
vue3 css的样式如果background没有,如何覆盖有background的样式
前端·css
Ocean☾1 小时前
前端基础-html-注册界面
前端·算法·html