CORS澄清

Question

我需要一些澄清的问题，CORS (跨源资源共享)可能造成的。让我们假设site A.COM启用了CORS，特别是：

• 访问-控制-允许-原产地可以设置为HTTP请求中的任何网站，并且它被复制回响应中
• 访问-控制-允许-凭据可以设置为真

既然如此，让我们假设在下面的A.COM路径中：A.COM/user.php?id=USER_ID承载了用户的密码(不现实，但让我们继续前进)。

可能的攻击场景是：

1. 攻击者创建一个托管在B.COM中的页面，其中有一个Javascript函数，该函数在加载页面时，向A.COM/user.php?id=USER_ID发送一个HTTP请求(设置了原版头)，得到结果并存储在某个地方(可能会向另一个攻击者页面发送附加的http请求)。
2. 攻击者需要强制用户加载B.COM。

因此，我的问题是:要访问A.COM/user.php?id=USER_ID，必须对用户进行身份验证并设置cookie，攻击者需要确保受攻击的用户对A.COM具有有效的cookie，攻击者还需要知道A.COM的web结构？如果受攻击的用户没有登录并且没有任何cookie设置，那么攻击不起作用吗？

谢谢你的澄清。

E.

Answer 1

如果受攻击的用户没有登录并且没有任何cookie设置，那么攻击不起作用吗？

没错。

由于配置错误的CORS策略造成的攻击与您所描述的完全一样。如果用户未登录，攻击者将一无所获。

攻击者还需要知道A.COM的网络结构吗？

是的，攻击者需要知道他们可以强迫用户提交什么请求。他们可能知道这一点，因为他们也有一个具有类似权限的帐户，因为他们可以临时访问一个帐户或源代码，因为对CORS请求的答复会返回更多的链接，或者他们可能试图猜测请求。

Answer 2

是的，跨站点请求伪造(相同的来源策略缓解的https://www.owasp.org/index.php/Cross-Site_请求_伪造_(CSRF)，在登录用户时效果最好。对于某些受信任的网站，CORS会放松这种缓解措施。