کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن
خرید کریو خرید وی پی ان خرید VPN خرید فیلترشکن
من درک می کنم که SOP XSS را به خودی خود مانع نمی کند، مثلا: اگر کسی یک اسکریپت مثل هشدار ("bla-bla") را تزریق کند، آن هم اعدام خواهد شد.
اما من می خواهم تأیید کنم اگر SOP به درستی پیکربندی شده باشد (Access-Control-Allow-Origin تنها یک لیست از دامنه های قابل اعتماد است)، پس از آن یک مهاجم قادر نخواهد بود به ارسال کند [بااستفادهازAJAX بازیابی شده توسط اجرای اسکریپت XSS؟ معنی این که SOP به طور صحیح پیکربندی شده امکان کاهش XSS را دارد؟
آیا درست است؟
با تشکر از شما
سوالات زیر را در رابطه با CSRF، SOP و CORS مطرح می کنم.
آیا نشانه های CSRF تنها از ارسال فرم با روش POST یا GET محافظت می کنند؟ آیا این فقط یک "معمول" است (با توجه به این واقعیت که تنها ارسال های ارسالی آسیب پذیر هستند مانند مثال درخواست POST برای انتقال وجوه در یک وب سایت بانکداری وب)
آیا CORS تنها در صورت درخواست محتوای با GET موجود است روش و نه با POST؟ اگر یک فرم با استفاده از نشانه CSRF محافظت شده باشد، در این صورت هیچ نگرانی در مورد CORS برای ایجاد چنین درخواست (به معنی ارسال فرم از یک دامنه متفاوت) وجود ندارد؛ به این دلیل که حتی با فعال شدن CORS، یک نشانه CSRF از این محتوا محافظت می شود (حتی اگر این یک مورد معمول استفاده از نشانه CSRF نیست)
آیا CORS بر اساس چک کردن سرصفحه مبدأ به دلیل این واقعیت است که مرورگر قربانی را نمی توان به دروغ گویی سرچشمه مبدأ فریب داد؟ در حالی که CURL ما را قادر به فریب دادن هدرها می کند، در این حمله خاص مرورگر قربانی نمی تواند فریب خورده باشد؟
من پست های مختلفی را در رابطه با بالا خوانده ام، اما توضیح واضح تر را دوست دارم. به عنوان مثال من این را خوانده ام:
با این حال، بارگیری منابع از میزبان های دیگر مانند تصاویر، اسکریپت ها، شیوه نامه ها، فریم ها، فرم های ارسال و غیره به این محدودیت محدود نمی شود
چه چیزی باعث دلگرمی من است فکر می کنم این است که اکثر موضوعات در مورد CSRF نشانه تنها در نمونه هایی با فرم ها و ارسال داده ها با روش POST به یک سرور مشخص می شود و بر روی تصویر بزرگ تر توضیح نمی دهد.
