En primer lugar, ¿cuál es la política del mismo origen
medios de homología el mismo protocolo, el mismo nombre de dominio, el mismo puerto, un sitio web único sitio recurso del sitio Web A no puede acceder a los recursos del sitio B, por ejemplo,
En segundo lugar, la detección de la vulnerabilidad
Aquí con la llave maestra para verificar el rango DoraBox
cuando no se devuelve los siguientes campos en el paquete, Access-Control-Allow-Origen : * indica cualquier dominio puede acceder a este recurso
Access-Control-Allow-Origin: *
Access-Control-Allow-Headers: X-Requested-With
Access-Control-Allow-Credentials: true
Cuando se agrega el pedido con antelación Origen: Después de http://123.com contrato, el Permitir-Control-encontrado-Acceso Origen : http://123.com
En tercer lugar, un cors Amway script de detección CORScanner
Para comprobar un error de configuración CORS dominio específicos:
python cors_scan.py -u example.com
Para comprobar los errores de configuración específicos de un URL CORS:
python cors_scan.py -u http://example.com/restapi
CORS cabeceras para ser comprobadas con un error de configuración particular:
python cors_scan.py -u example.com -d "Cookie: test"
Para comprobar CORS múltiples errores de configuración de dominio / URL:
python cors_scan.py -i top_100_domains.txt -t 100
Para una lista de todas las opciones básicas e interruptores, utilice la opción -h:
python cors_scan.py -h
Cuando hay detección de vulnerabilidades eco
pero por lo demás no se hizo eco