http - 从 HTTP 到 HTTPS 发出 CORS 请求是否有任何安全问题?

标签 http https cors

我有一个服务器,我已经确认它只能通过 HTTPS 访问。如果使用 HTTP 的受信任网站向 HTTPS 端点发出 CORS 请求,我应该担心什么吗?

提前感谢您的帮助。

最佳答案

是的,这是不安全的:如果您域的 http 网页可以读取您域的 https 网页的答案,攻击者可以,通过修改 http 网页.

即使用户不访问您的网站!攻击者汽车使用任何使用 http 的网站来包含您网站的 http iframe,修改内容以强制对您的 https 网页发出 CORS 请求,并将答案发送给攻击者。

“使用 HTTP 的可信网站”:它可能被 CORS“信任”(列入白名单),但一个 http 网页不能被信任

TL;DR:在任何地方都使用 https,否则您会犯下削弱安全性的错误。

关于http - 从 HTTP 到 HTTPS 发出 CORS 请求是否有任何安全问题?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39395088/

上一篇:http - http中不发送content-type有什么问题?

下一篇:angularjs - Angular $http 回调不适用于 Chrome 中的 HTTP 304

相关文章:

http - 为什么 HTTP 代理能够支持像 IRC 和 FTP 这样的协议(protocol)?

python-3.x - 如何修复错误 urllib.error.HTTPError : HTTP Error 400: BAD REQUEST?

azure - 在 azure 上为 https 配置 golang rest api 应用程序

ruby-on-rails - request.xhr CORS 布局失败

jquery - 跨域登录后未设置 Set-Cookie session

javascript - 在 Golang 回调函数中启用 CORS

angularjs - 是否可以将参数化 URL 模板与 Angular $http 服务一起使用

angular - 尝试从 4chan API 获取

security - HTTP页面中的HTTPS iframe,我该如何阻止它?

php openssl : how to match the private key with the certificate

©2024 IT工具网  联系我们