Chrome や Safari などの一部のブラウザーでは、クロスオリジン リクエストが許可されません。これは、ユーザーが同じオリジン セキュリティ ポリシーを尊重する必要があるためです。しかし、これを許可する本当のリスクはどれですか? つまり、同一オリジン セキュリティ ポリシーがなければ、ハッカーはどのような攻撃を実行できるでしょうか?
質問する
90 次
1 に答える
0
実際には、すべてのブラウザーが同一生成元ポリシーに準拠しています。その理由は、ポリシーが適用されなかった場合、悪意のあるサイトにアクセスすると、そのサイトは基本的にブラウザを制御し、アクティブなセッションや Cookie などを使用する可能性があるためです。ユーザーは自分のセッションを使用してログインし、実質的に任意のタスクを実行します。また、さまざまなポートにリクエストを送信することもできますが、これもまた悪用され、ゾンビを作成するために使用され、よりクリエイティブな人々が考える他の何百ものこともできます...
基本的に、すべてのセッションの整合性は、サイトにアクセスすると失われます。
この問題の詳細な説明については、これを読むことをお勧めします。
于 2013-09-20T14:01:19.853 に答える