第一章:跨域安全危机的现状与挑战
现代Web应用架构日益复杂,跨域请求已成为前端与后端、微服务之间通信的常态。然而,跨域资源共享(CORS)机制在提供便利的同时,也引入了严重的安全隐患。攻击者可利用配置不当的CORS策略实施跨站请求伪造(CSRF)、敏感信息泄露等攻击。常见跨域安全风险
- 宽松的
Access-Control-Allow-Origin: *配置导致任意域均可访问API - 未校验
Origin请求头,使恶意站点可伪造来源 - 允许凭据传输(
credentials: true)但未严格限制源,增加会话劫持风险
典型漏洞代码示例
// 错误示范:无条件允许所有跨域请求 app.use((req, res, next) => { res.header('Access-Control-Allow-Origin', '*'); // 危险! res.header('Access-Control-Allow-Methods', 'GET, POST'); res.header('Access-Control-Allow-Headers', 'Content-Type'); next(); });上述代码将API暴露给任意第三方网站,攻击者可通过构造恶意页面发起带凭据的请求,窃取用户数据。
安全策略对比表
| 策略类型 | 安全性 | 适用场景 |
|---|---|---|
| 允许所有源 (*) | 低 | 公开API,无敏感数据 |
| 白名单校验 | 高 | 企业内部系统、用户敏感操作 |
| 动态反射Origin | 中 | 多租户平台,需谨慎校验 |
推荐防御措施
- 严格校验请求中的
Origin头,仅允许可信域名 - 避免在包含敏感信息的响应中使用通配符
- 结合 CSRF Token 与 SameSite Cookie 策略增强防护
graph TD A[客户端发起跨域请求] --> B{服务器校验Origin} B -->|在白名单内| C[返回Access-Control-Allow-Origin: 正确源] B -->|不在白名单| D[拒绝请求,不返回CORS头]
第二章:理解CORS机制及其安全风险
2.1 CORS同源策略原理与浏览器行为解析
同源策略的安全基石
同源策略(Same-Origin Policy)是浏览器的核心安全机制,限制了不同源的文档或脚本如何交互。所谓“同源”,需协议、域名、端口三者完全一致。该策略防止恶意站点读取另一站点的敏感数据。跨域资源共享机制
CORS(Cross-Origin Resource Sharing)通过HTTP头字段实现跨域授权。浏览器在跨域请求时自动附加Origin头,服务器通过返回Access-Control-Allow-Origin决定是否许可。GET /data HTTP/1.1 Host: api.example.com Origin: https://malicious.com HTTP/1.1 200 OK Access-Control-Allow-Origin: https://trusted.com Content-Type: application/json预检请求与实际行为
对于非简单请求(如带自定义头),浏览器先发送OPTIONS预检请求,验证服务器策略。服务器必须正确响应Access-Control-Allow-Methods和Access-Control-Allow-Headers,否则请求被拦截。
