记录一次apisix上cros配置跨域失败的问题

安全要求不允许跨域请求,但是业务侧由于涉及多个域名,并且需要共享cookie,所以需要配置跨域。

在apisix上配置了cors如下。

结果安全漏扫还是识别到了跨域请求的漏洞。

调试了cors.lua的插件脚本,发现apisix上是如果不在allowOrigins列表里面的话,就不做处理,没有在响应头写入Access-Control-Allow-Origin。

后来发现是后台java服务上面配置了Access-Control-Allow-Origin:*。直接返回的响应头。

后台服务网关改掉就ok了。

这里主要问题是,apisix采用的是不在allow列表的origin直接不做处理。(其实后端没主动写入也没问题)但是在后端主动写入Access-Control-Allow-Origin的情况下会导致失效。

这里解决方法直接规定后端不要做跨域配置即可。

相关推荐
tntxia10 小时前
网络安全漏洞修复(一)
安全
泯泷2 天前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷2 天前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flynt6 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab11 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31114 天前
VPN 与内网穿透
安全
Mr_愚人派15 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao16 天前
【无标题】
人工智能·安全
Alsn8616 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
网络研究院16 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展