變焦，CORS和網絡

具有諷刺意味的是，最近的主要變焦脆弱性源於網絡技術，而不是應用程序本身。這突出了整合Web和本機應用程序組件的複雜性。

該問題圍繞自定義協議（例如gittower://或dropbox:// ）以及本機應用程序如何註冊以處理特定URL。儘管有效直接啟動應用程序，但他們沒有提供用戶選擇。為了提供此選擇，開發人員經常使用標準URL。

許多應用程序通過使用用戶計算機上的LocalHost服務器在網頁上實現本機應用程序交互，並通過URL方案進行通信。這種方法雖然聰明，但引起了人們的關注：

• 用戶可能不知道運行的Localhost服務器。
• 外部網站與Localhost服務器通信的能力令人震驚。

但是，存在保障措施，主要是CORS（交叉原始資源共享）。 CORS防止未經授權的跨域XHR請求，這是一種至關重要的安全措施。這不是替代瀏覽器的同基因策略，而是控制交叉訪問的機制。試圖與另一個網站通信的網站將失敗，除非響應包括匹配請求域或使用通配符（*） Access-Control-Allow-Origin頭。重要的是，此限制不適用於所有資源。例如，圖像是豁免的。

根據克里斯·福斯特（Chris Foster）的說法，對COR的誤解是變焦脆弱性的核心。為了繞過對Ajax請求的CORS限制，據稱Zoom採用了基於圖像的解決方法。這無意間造成了一個重要的漏洞，使任何網站都可以在本機客戶端觸發操作並訪問其響應。

尼古拉斯·貝利（Nicolas Bailly）的文章“您應該了解有關CORS的知識”，闡明了CORS的經常被忽略的本質：這不是一種安全措施本身，而是一種繞過同一原產政策的方式，這是主要的安全機制。

以上是變焦，CORS和網絡的詳細內容。更多資訊請關注PHP中文網其他相關文章！