我研究网络攻击。我发现可以将带有 HTML 的表单从另一个来源提交到受害者服务器。但是,如果我使用 AJAX,则会收到 CORS 错误。这是预期的行为吗?如果是,为什么?受害者根本没有设置任何“Allow-Origin”标头。
CORS 错误,但仅来自 AJAX 而不是来自 HTML 表单
信息安全
科尔斯
2021-09-08 18:42:33
1个回答
这是预期的行为。
在 CORS 之前,已经可以使用 HTML 表单进行跨站点请求,跨域包含图像...... 但是不可能进行跨站点 XHR (Ajax),因此开发人员使用允许的方法完成了变通方法。
CORS 通过放宽原始限制并在某些情况下允许跨域 XHR 来改变这一点。允许“简单”XHR 无需先询问服务器,因为之前可以使用 HTML 表单等完成相同的请求。所有其他 XHR 首先需要一个飞行前请求,以检查服务器是否正在接受 HTTP 请求。
其它你可能感兴趣的问题