隨著前后端分離架構(gòu)的逐漸普及，CORS跨域技術(shù)被廣泛應(yīng)用在Web應(yīng)用中，以便不同域之間資源的互相訪問。

一、CORS工作機制詳解

CORS的全稱是跨域資源共享（Cross-Origin Resource Sharing），允許瀏覽器向跨域服務(wù)器發(fā)起XMLHttpRequest請求。主要機制分為兩種調(diào)用流程：

1、簡單請求

瀏覽器直接發(fā)出實際請求，無需預(yù)檢。簡單請求滿足以下條件：

1. 使用下列方法之一：GET、HEAD、POST
2. 只能設(shè)置以下頭部：Accept、Accept-Language、Content-Language、Content-Type（只限于application/x-www-form-urlencoded、multipart/form-data、text/plain三種類型）

如果滿足這兩個條件，瀏覽器會自動在請求頭中添加 Origin 字段，發(fā)起簡單請求，服務(wù)器根據(jù) Origin 劃定的來源域，決定是否給予響應(yīng)。

2、預(yù)檢請求

如果不滿足簡單請求的條件，瀏覽器會自動發(fā)起預(yù)檢請求（OPTIONS 請求），詢問服務(wù)器請求是否被允許。如：

1. 瀏覽器發(fā)送 OPTIONS 請求，請求頭中包含 Origin、Access-Control-Request-Method 和 Access-Control-Request-Headers 等信息
2. 服務(wù)器響應(yīng) OPTIONS 請求，響應(yīng)頭中包含 Access-Control-Allow-Origin、Access-Control-Allow-Methods 和 Access-Control-Allow-Headers 等信息
3. 瀏覽器對響應(yīng)頭信息進(jìn)行確認(rèn)和緩存
4. 瀏覽器發(fā)送實際請求。請求頭中自動添加 Origin 字段。
5. 服務(wù)器進(jìn)行 Access-Control-Allow-Origin 校驗，并響應(yīng)實際請求

二、CORS安全風(fēng)險詳解

CORS 的機制有一定復(fù)雜性，也會有藏著一些安全風(fēng)險。主要包括：

1、CORS誤配置風(fēng)險

如果服務(wù)器端CORS配置錯誤，可能會使得本不應(yīng)該訪問的惡意網(wǎng)站得到數(shù)據(jù)訪問權(quán)限。這屬于典型的CORS誤配置問題。

2、CSRF跨站請求偽造風(fēng)險

攻擊者可利用CORS實現(xiàn)CSRF攻擊。例如惡意網(wǎng)站利用CORS請求接口獲取用戶數(shù)據(jù)或執(zhí)行增刪改操作。這屬于利用CORS實現(xiàn)CSRF攻擊的風(fēng)險。

3、信息泄露風(fēng)險

攻擊者可以利用CORS的一些特性獲取敏感信息。例如根據(jù)CORS頭部判斷網(wǎng)站架構(gòu)，根據(jù)錯誤信息判斷后臺技術(shù)棧等。

4、報文劫持風(fēng)險

攻擊者可在客戶端通過JS劫持CORS報文，改變請求參數(shù)、添加非法頭部甚至修改響應(yīng)內(nèi)容。這屬于CORS請求被劫持的風(fēng)險。

5、瀏覽器緩存被污染風(fēng)險

惡意網(wǎng)站可向有緩存的CORS接口大量發(fā)送預(yù)檢請求，導(dǎo)致瀏覽器緩存被其預(yù)檢選項所污染，進(jìn)而影響其他正常CORS請求。

三、防范策略

防范CORS風(fēng)險的關(guān)鍵在于從源頭加強接口訪問控制，嚴(yán)格限制允許跨域請求的來源，具體策略包括：

• 嚴(yán)格限制允許跨域請求的源（Origin）。生產(chǎn)環(huán)境一般只允許指定的域名請求，不開放。
• 對安全性要求高的接口，禁用CORS跨域訪問。敏感接口不允許異域調(diào)用。
• 驗證Origin請求頭防止它被欺騙。攻擊者可能偽造這個字段。
• 使用CSRF防護(hù)機制，比如校驗HTTP Referer 或在請求中設(shè)置token進(jìn)行校驗。
• 接口響應(yīng)中避免返回敏感信息。對錯誤信息進(jìn)行遮蔽處理。
• 在服務(wù)端校驗CORS的請求頭，防止其被客戶端篡改。
• 對跨域預(yù)檢請求的緩存時長、次數(shù)/頻率進(jìn)行限制。
• 使用CSP防護(hù)CORS跨域請求遭到劫持的風(fēng)險。
• 啟用服務(wù)器端的CORS中間件，規(guī)范CORS的實現(xiàn)。

CORS作為一個具有明確邊界訪問控制的跨域解決方案，應(yīng)嚴(yán)格限制在業(yè)務(wù)必需的場景中使用。在啟用CORS的基礎(chǔ)上，采取必要的安全防護(hù)措施，以降低相關(guān)風(fēng)險。