記錄一些 Web security issues
緣起今天和 Kytu 大大的交流過程,讓我感到十分羞愧,過去聽過的名詞,在對方的詢問之下,好像都成了新東西,必須要重新 Google 學起似的,這實在讓我感受到非常糟糕啊,決定記錄起來,以示認真!
CORS跨來源分享資源(CORS) 是一種允許 resources (像是 JS, CSS etc.)對不同 domain 的位置發送請求的機制。
簡單範例
假設有個網站 http://www.foo.com 嘗試存取 bar.com 網站的 Users’ data,下列的 request header 會被傳到 bar.com
Origin: http://www.foo.com
bar.co
...