Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Access-Control-Allow-Origin

To: nginx-ru@xxxxxxxxx
Subject: Re: Access-Control-Allow-Origin
From: Dmitry Dedukhin <dedukhin@xxxxxxx>
Date: Fri, 14 Oct 2011 08:51:22 +0400
Dkim-signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=mail.ru; s=mail; h=Content-Transfer-Encoding:Content-Type:In-Reply-To:References:Subject:To:MIME-Version:From:Date:Message-ID; bh=mCzGzs4FPEUZU4QHAPUL98n9xuhBEDleEgoIlIqMwI0=; b=LX2ZuHIaRb7CrWck8e8BmCNvjU8xMt75jUHbac2PhOcD3/zWuuMNtxvnxFGmEe9ysx8+8XpC1ZL0tN1hk4W1yrRDAWF2kCqOLKVqFlhp6RSXsSKRvucOO+O6wP2JlpsQ;
In-reply-to: <f355d7efd85beb22f7f90f76e45c52ed.NginxMailingListRussian@xxxxxxxxxxxxxxx>
References: <f355d7efd85beb22f7f90f76e45c52ed.NginxMailingListRussian@xxxxxxxxxxxxxxx>


13.10.2011 21:38, anon пишет:

Всем привет.

В ходе работы возникло несколько
вопросов по этому заголовку.

1)Если добавляем:


add_header Access-Control-Allow-Origin  http://127.0.0.1:8055;
add_header Access-Control-Allow-Origin  https://mail.google.com;
add_header Access-Control-Allow-Origin  https://docs.google.com;

То не сервер отдает пустой ответ не
смотря на правильно передающийся Origin.
Если выставить add_header Access-Control-Allow-Origin *;
получаем ответ.

2) Чем чревато все же выставление
Access-Control-Allow-Origin * на весь сайт? В целом
понятно, что 6 соединений из браузера и
все такое, но какую это может нести в
себе реальную угрозу?

Спасибо.

Posted at Nginx Forum: 
http://forum.nginx.org/read.php?21,216660,216660#msg-216660

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Насколько я помню, в данный момент ни один браузер не поддерживаетналичие нескольких заголовков Access-Control-Allow-Origin (а возможноэто и задизайнированное поведение)."Чреватость" звездочки для меня самого остается загадкой, в головуприходит только то, что злоумышленник может с любого сайта не толькоделать GET/POST запросы, но и получать на них ответ. Но при этом избраузера нет доступа к большинству заголовков ответаhttp://www.w3.org/TR/cors/#handling-a-response-to-a-cross-origin-re (вчастности, к кукам), так что лично я не вижу никакой потенциальнойопасности от звездочки.

Может быть кто-то поправит меня и опасность в звездочке таки есть...

PS: возможно получится проверять заголовок Referer в конфиге (например,с помощью серии директив if) и выставлять нужное значение как-то так:


set $origin "http://mysite.ru";;
if ($http_referer ~* ^http://trusted_domain1\.ru) {
    set $origin "http://trusted_domain1.ru";;
}
if ($http_referer ~* ^http://trusted_domain2\.ru) {
    set $origin "http://trusted_domain2.ru";;
}
add_header Access-Control-Allow-Origin  $origin;

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: Access-Control-Allow-Origin
  - From: Igor Sysoev

References:
- Access-Control-Allow-Origin
  - From: anon

Prev by Date: Re[2]: nginx pastebin cms imagettfbbox
Next by Date: Re: Access-Control-Allow-Origin
Previous by thread: Access-Control-Allow-Origin
Next by thread: Re: Access-Control-Allow-Origin
Index(es):
- Date
- Thread