增加任意域可信检测

Question

增加任意域可信检测

Baikeryoyo opened this issue 3 years ago · comments

https://github.com/saucer-man/CORScanner
saucer-man@3af8499
在网上看到了这个，有网友发现没有检测access-control-allow-origin为*的安全问题

Jianjun Chen · Answer 1 · Thu Apr 08 2021 12:17:19 GMT+0800 (China Standard Time)

谢谢你的建议和 PR。但是 access-control-allow-origin: * 好像不能被利用，不能造成安全问题。因为所有浏览器都不接受 access-control-allow-origin: * 和 access-control-allow-credentials： true 的组合。

我之前的博客里有提到这个。不知道现在有没有出新的利用方法。

baiker · Answer 2 · Thu Apr 08 2021 13:23:38 GMT+0800 (China Standard Time)

所以这个只算配置错误，不属于漏洞

Jianjun Chen · Answer 3 · Fri Apr 09 2021 01:17:22 GMT+0800 (China Standard Time)

嗯，目前其它几类都直接安全危害。如果把这个加进去，可能会让人有些困惑，所以暂时先不加这个，不过还是谢谢你的建议。