记录一次apisix上cros配置跨域失败的问题

安全要求不允许跨域请求,但是业务侧由于涉及多个域名,并且需要共享cookie,所以需要配置跨域。

在apisix上配置了cors如下。

结果安全漏扫还是识别到了跨域请求的漏洞。

调试了cors.lua的插件脚本,发现apisix上是如果不在allowOrigins列表里面的话,就不做处理,没有在响应头写入Access-Control-Allow-Origin。

后来发现是后台java服务上面配置了Access-Control-Allow-Origin:*。直接返回的响应头。

后台服务网关改掉就ok了。

这里主要问题是,apisix采用的是不在allow列表的origin直接不做处理。(其实后端没主动写入也没问题)但是在后端主动写入Access-Control-Allow-Origin的情况下会导致失效。

这里解决方法直接规定后端不要做跨域配置即可。

相关推荐
m0_738120724 小时前
网络安全编程——TCP客户端以及服务端Python实现
python·tcp/ip·安全·web安全·网络安全
darkfive4 小时前
构建大模型安全自动化测试框架:从手工POC到AI对抗AI的递归Fuzz实践
人工智能·安全·ai·自动化
TG_yunshuguoji6 小时前
亚马逊云渠道商:本地SSD缓存如何保障数据安全?
运维·服务器·安全·云计算·aws
电话交换机IPPBX-3CX6 小时前
电话交换机软件3CX安全访问实践:屏蔽IP访问,仅允许域名访问
安全·域名·ippbx·1024程序员节·电话交换机
LucianaiB7 小时前
掌握 Rust:从内存安全到高性能服务的完整技术图谱
开发语言·安全·rust
ks胤墨8 小时前
网站安全太复杂?雷池SafeLine+cpolar实现“躺平式”防护!
安全
泷羽Sec-静安9 小时前
Less-1 GET-Error based-Single quotes-String GET-基于错误-单引号-字符串
前端·css·网络·sql·安全·web安全·less
cai_huaer10 小时前
BugKu Web渗透之 文件包含2
web安全·1024程序员节
乌托邦的逃亡者11 小时前
Linux系统中配置history命令显示时间、IP、账号和操作命令
linux·运维·安全
small_white_robot15 小时前
vulnerable_docker_containement 靶机
运维·网络·web安全·网络安全·docker·容器