[問題] 不懂 CORS 之目的

看板Web_Design作者 (▎#如詩的韻律™♪)時間1年前 (), 1年前編輯推噓1(1019)
留言20則, 2人參與, 1年前最新討論串1/1
各位板友好, 我是正在學習前端的新手 最近在寫一個網頁,需要利用爬蟲的方式取得一些資料 然而,卻又遭遇到 CORS 的惡夢 查一堆資料都看得頭暈眼花,JSONP 已經會被 Chrome 檢查 MIME Type,找到一個 proxy在 local 都正常,推到 GitHub Pages 又噴 CORS error 雖然最終我透過 Netlify 提供的 Redirect Proxy 暫時解決我的問題 但我仍然很疑惑 CORS 的目的究竟為何?? 如果是要保護伺服器端的資料,應該用 API key 之類的方法,否則還是會被其他爬蟲擷取啊 如果是要保護客戶端也很不合理啊,怎麼是由伺服器端加上 header 來保證安全,要注入惡意程式碼難道就不會加上 header 嗎?? 看起來整個 CORS 似乎只是為惹阻止前端爬蟲而已,它到底是要幹嘛啊?? 還請各位大大不吝賜教,感激不盡 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.240.165.72 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Web_Design/M.1624612621.A.E53.html

06/25 18:00, 1年前 , 1F
防止XSS攻擊,瀏覽器端存的資料的安全保護是以origin為信任
06/25 18:00, 1F

06/25 18:01, 1年前 , 2F
單位,不同origin的script不能互相存取在瀏覽器的資料
06/25 18:01, 2F

06/25 18:02, 1年前 , 3F
然後「伺服器端加上 header 來保證安全」是你搞反了吧,預
06/25 18:02, 3F

06/25 18:04, 1年前 , 4F
設是不能存取=安全,加上header是指示瀏覽器放寬限制=危險
06/25 18:04, 4F

06/25 18:06, 1年前 , 5F
這機制跟爬蟲沒關,爬蟲只是一種script,從後端自己發沒有
06/25 18:06, 5F

06/25 18:09, 1年前 , 6F
不會動到瀏覽器的資料所以沒關係,前端是所有XSS都不行
06/25 18:09, 6F

06/25 18:10, 1年前 , 7F
可以理解你程式新手寫個js用瀏覽器跑是很直觀的想法,但是
06/25 18:10, 7F

06/25 18:11, 1年前 , 8F
你要知道瀏覽器不是用來給你跑程式的,是給一般人上網的
06/25 18:11, 8F
還是不懂怎麼是伺服器端放寬限制,瀏覽器就可以存取??我感覺應該由瀏覽器來決定外部資源是否可以被信任 而且我只是要 fetch JSON 而已,我沒有要執行它阿 ※ 編輯: nevikw39 (123.240.165.72 臺灣), 06/25/2021 18:23:54

06/25 18:18, 1年前 , 9F
你可能還有一個問題是發request哪裡動到資料,發request時
06/25 18:18, 9F

06/25 18:19, 1年前 , 10F
會自動帶入該origin的Cookie,接收時會收到Set-Cookie,這
06/25 18:19, 10F

06/25 18:20, 1年前 , 11F
些Cookie就是不能讓不同origin存取的資料
06/25 18:20, 11F

06/25 18:31, 1年前 , 12F
等你當駭客的時候就會覺得cors很難搞了 好不容易找到漏
06/25 18:31, 12F

06/25 18:31, 1年前 , 13F
洞 結果注入的惡意程式碼被cors限制
06/25 18:31, 13F

06/25 18:32, 1年前 , 14F
cors是瀏覽器做的限制 你用後端寫爬蟲就能正常爬取了
06/25 18:32, 14F
CORS 就讓我超頭痛,資安領域看起來真不簡單

06/25 18:33, 1年前 , 15F
某個origin的資料,要放寬給哪些其他origin存取,當然是伺
06/25 18:33, 15F

06/25 18:34, 1年前 , 16F
服器決定啊,瀏覽器難道還要內建全世界網站要開放的名單?
06/25 18:34, 16F

06/25 18:49, 1年前 , 17F
想到你可能搞錯一點,nevikw39.com 存取 example.com 被擋
06/25 18:49, 17F

06/25 18:51, 1年前 , 18F
不是保護 nevikw39.com 用到外部資源,是要保護example.com
06/25 18:51, 18F

06/25 18:52, 1年前 , 19F
存在瀏覽器端的資料不會被 nevikw39.com 的網頁存取
06/25 18:52, 19F
所以是 CORS 的目的其實是要防止某個網頁資源的 cookie, storage 被其他網頁載入?? 結果連帶使得其他網頁不能取得某網頁資源?? 我現在這樣理解正確嗎 ※ 編輯: nevikw39 (123.240.165.72 臺灣), 06/25/2021 18:57:33

06/25 18:52, 1年前 , 20F
所以當然由example.com的response header設定CORS規則
06/25 18:52, 20F
我大概想通惹 比如今天我的瀏覽器有登入 Google, Facebook 等服務,如果沒有 CORS 那麼所有網頁都可以幫我發文之類的,那就可怕惹 ※ 編輯: nevikw39 (123.240.165.72 臺灣), 06/25/2021 19:02:51
文章代碼(AID): #1WrPyDvJ (Web_Design)
文章代碼(AID): #1WrPyDvJ (Web_Design)