CORS配置错误——跨域数据泄露

CORS配置错误——跨域数据泄露

摘要：CORS（跨域资源共享）错误配置（如Access-Control-Allow-Origin: *且允许凭证）可导致任意网站读取敏感API响应。本文解析CORS攻击原理，给出白名单源、避免使用通配符等防御。

关键词：黑客网站攻击；CORS漏洞；渗透测试；跨域读取；同源策略绕过

---

一、引言

CORS使Web应用安全地跨域通信，但Access-Control-Allow-Origin: *加上Access-Control-Allow-Credentials: true的组合会使浏览器泄露凭证，任何网站均可读取响应。

二、攻击示例

恶意站点发送fetch('https://victim.com/api/user', {credentials: 'include'})，由于*允许任意来源，浏览器响应被恶意站点脚本读取。

三、防御方法

• 避免使用通配符*，明确指定允许的源。
• 禁止在Access-Control-Allow-Origin: *时携带凭证。
• 验证Origin头。
  
  

四、总结

CORS的安全配置需要精细化管理，尤其涉及凭证时要特别小心。