记录一次apisix上cros配置跨域失败的问题

安全要求不允许跨域请求,但是业务侧由于涉及多个域名,并且需要共享cookie,所以需要配置跨域。

在apisix上配置了cors如下。

结果安全漏扫还是识别到了跨域请求的漏洞。

调试了cors.lua的插件脚本,发现apisix上是如果不在allowOrigins列表里面的话,就不做处理,没有在响应头写入Access-Control-Allow-Origin。

后来发现是后台java服务上面配置了Access-Control-Allow-Origin:*。直接返回的响应头。

后台服务网关改掉就ok了。

这里主要问题是,apisix采用的是不在allow列表的origin直接不做处理。(其实后端没主动写入也没问题)但是在后端主动写入Access-Control-Allow-Origin的情况下会导致失效。

这里解决方法直接规定后端不要做跨域配置即可。

相关推荐
你的人类朋友3 小时前
HTTP为什么不安全?
安全·http·https
Your易元5 小时前
模式组合应用-代理模式
安全·系统安全·代理模式
安娜的信息安全说7 小时前
工业与信息安全的交汇点:IT 与 OT 安全融合
网络·安全·web安全
小苑同学7 小时前
网络安全和NLP、CV是并行的应用吗?
安全·web安全·自然语言处理
一袋米扛几楼988 小时前
【软件安全】fgets / strncpy / gets(不安全) / snprintf的对比
linux·服务器·安全
安当加密8 小时前
如何利用开源库和安全芯片设计fido令牌
网络·安全·开源
Vahala0623-孔勇11 小时前
微服务网关深度设计:从Spring Cloud Gateway到Envoy,流量治理与安全认证实战指南
java·安全·微服务·云原生
独行soc12 小时前
2025年渗透测试面试题总结-98(题目+回答)
网络·安全·web安全·adb·面试·渗透测试·安全狮
key0615 小时前
《数据出境安全评估办法》企业应对策略
网络·人工智能·安全
AORO202515 小时前
遨游科普:什么是对讲机?没有网络的山区对讲机可以用吗?
网络·5g·安全·信息与通信