把所有 POST 请求都换成 PUT，不返回允许非同源请求的响应头，是否就不需要考虑 CORS 攻击了？

harryWebb

2024-07-17 08:47:02 +08:00

如果从非主流的角度讲。。。确实是这样的
毕竟很多黑客攻击只是针对特定情况下的扫描，扫描到了才会进行下一步渗透
你直接不按常理出牌，估计除非是针对性的，不然肯定就可以忽略了

CodeCodeStudy

2024-07-17 09:12:30 +08:00

不是吧，CORS 保护的是浏览器，跟什么请求方法没有关系啊

drymonfidelia

2024-07-17 09:17:37 +08:00

@CodeCodeStudy dorm 表单不能提交 put

Ayanokouji

2024-07-17 09:18:31 +08:00

建议重新看下 cors 那篇帖子

drymonfidelia

2024-07-17 09:20:25 +08:00

@Ayanokouji 不发跨域响应头+非 get/post 就不是简单请求

lambdaq

2024-07-17 09:35:04 +08:00

这个思路。。。6 。。。。。

paopjian

2024-07-17 09:40:09 +08:00

我学艺不精,不太清楚 CORS 攻击,这好像就是封闭本服务器啊,也就是不返回 Access-Control-Allow-Origin,只自己玩不让别的网站请求,和有没有 PUT 关系不大

drymonfidelia

2024-07-17 09:41:49 +08:00

别人网站请求你网站非简单请求会先预检，你对预检请求不返回 Access-Control-Allow-Origin 就通不过预检，实际请求无法发送

elboble

2024-07-17 09:46:25 +08:00

cors 攻击和 put ，post 没直接关系吧

dzdh

2024-07-17 09:47:43 +08:00

CORS 不存在"攻击"吧。

服务端直接对你发起请求，那你怎么做都没用

浏览器对你发起请求，只要你不返回对应头，那请求也根本发不成功，也没什么用。

除非你特意设置，允许跨域。否则，你就是不允许，那浏览器就不会给你发跨域请求。

elboble

2024-07-17 09:47:59 +08:00

我是记得原来讨论是不是所有请求都变成 post ，过滤其他所有行为才是最安全。

belin520

2024-07-17 09:54:22 +08:00

所以 CORS 那个帖子居然说对了

ZeekChatCom

2024-07-17 09:54:56 +08:00

这种其实就是 Access-Control-Allow-Origin 设置不合理，导致用户在访问恶意网站的时候，浏览器会偷偷发起对受害网站的访问，从而实现盗取个人敏感信息或者刷票等行为。

kxg3030

2024-07-17 09:56:20 +08:00

上面分两拨人，一拨是在思考 cors 跨域为什么会有攻击，一拨在思考 put 请求为什么就不会造成 csrf 攻击，这个帖子成功把 cors 和 csrf 混在了一起，只能说世界就是个草台班子...

kxg3030

2024-07-17 09:58:15 +08:00

@ramirezyolis808 你要不先看看你在说什么

fiveStarLaoliang

2024-07-17 10:05:00 +08:00

哈哈哈哈哈，鸡同鸭讲

shadowyue

2024-07-17 10:07:25 +08:00

该继续宣传草台班子理论了😂

https://www.v2ex.com/t/1056504?p=1#reply269

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1057881

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.