我有一个服务器,我已经确认它只能通过 HTTPS 访问。如果使用 HTTP 的受信任网站向 HTTPS 端点发出 CORS 请求,我应该担心什么吗?
提前感谢您的帮助。
最佳答案
是的,这是不安全的:如果您域的 http 网页可以读取您域的 https 网页的答案,攻击者可以,通过修改 http 网页.
即使用户不访问您的网站!攻击者汽车使用任何使用 http 的网站来包含您网站的 http iframe,修改内容以强制对您的 https 网页发出 CORS 请求,并将答案发送给攻击者。
“使用 HTTP 的可信网站”:它可能被 CORS“信任”(列入白名单),但一个 http 网页不能被信任。
TL;DR:在任何地方都使用 https,否则您会犯下削弱安全性的错误。
关于http - 从 HTTP 到 HTTPS 发出 CORS 请求是否有任何安全问题?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39395088/