【原理扫描】不安全的crossdomain.xml文件和CORS(跨站资源共享)原始验证失败验证与彻底方案

最新推荐文章于 2025-06-04 15:11:19 发布
原创 最新推荐文章于 2025-06-04 15:11:19 发布
· 312 阅读 · 5 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #xml #服务器

不安全的crossdomain.xml文件【原理扫描】
CORS(跨站资源共享)原始验证失败【原理扫描】

吐槽一下

该漏扫是通过内网漏扫部署服务进行扫描内网minio端口探测到该minio配置不当造成的威胁。

通过nginx配置无效,且必须从MINIO本身解决;MINIO配置存在兼容性问题需多次尝试,研究。

设置corssdimain.xml配置文件设置指定域名可解决不安全的crossdomain.xml文件

访问路径:
http://192.168.3.239:3460/crossdomain.xml

请求响应:

CORS跨域资源共享漏洞解决

需配置config.json文件,设置指定限定域名

非法Origin访问

[root@localhost bin]# curl -H "Origin: http://cp.com" -I http://localhost:3460

合法Origin访问
[root@localhost bin]# curl -H "Origin: http://xxxa.com" -I http://localhost:3460

业务正常

 【问题解决思路】

问题一:MINIO升级是否解决不了, MINIO 2025版本 RELEASE.2025-04-22T22-12-26Z,根据桶规则设置跨域则不支持,2025版本社区版不支持,收费版本可设置CORS 此结论在github issus中已有结论。

解决思路就是全局策略设置cros即可!

有需要可评论区留言

常见的软件缺陷风险
oscar999的专栏
10-06 1012
MITRE OWASP 每年都会发布软件的常见危险的弱点,软件弱点包括在软件解决方案的代码、体系结构、实现或设计中发现的缺陷、bug、漏洞或各种其他错误。 提醒开发者在软件开发的时候予以注意防护。
SpringBoot 系列教程(六十五):application.yml文件属性配置大全
Thinkingcao的专栏
02-21 1732
SpringBoot官方完整配置 SpringBoot2.1.6.RELEASE:https://docs.spring.io/spring-boot/docs/2.1.6.RELEASE/reference/html/common-application-properties.html 以往版本SpringBoot官方完整配置:https://docs.spring.io/spring...
跨站资源共享CORS
zhutfly的博客
02-19 843
跨域http请求 当两个站点的协议(http、https、ftp)、域名、端口同时,该两个站点构成跨域。出于安全原因, 浏览器会限制脚本发起跨域http请求(也有可能是正常发送,但是拦截返回值)。实际项目中常用的解决跨域的方法通常有JSONP、CORS等。 使用CORS跨域 JSONP跨域比较简单,需要服务器端配合,但是只能发送GET请求;CORS是目前使用最为广泛的跨...
tomcat CORS跨域资源共享漏洞
ni_e_xin的博客
12-07 2398
tomcat cors跨域资源共享漏洞
跨源资源共享 (CORS)|学习学习
画个圆圆的地球
11-09 567
跨源资源共享(CORS) (或通俗地译为跨域资源共享)是一种机制,该机制使用附加的HTTP头来告诉浏览器,准许运行在一个源上的Web应用访问位于另一同源选定的资源。当一个Web应用发起一个自身所在源(域,协议端口)同的HTTP请求时,它发起的即跨源HTTP请求。 跨源HTTP请求的一个例子:运行在 http://domain-a.com的JavaScript代码使用XMLHttpRequest来发起一个到https://domain-b.com/data.json 的请求。 出于安全...
CORS跨域资源共享漏洞
bylfsj的博客
10-06 3248
目录 CORS跨域资源共享 简单跨域请求 非简单请求 CORS安全问题 有关于浏览器的同源策略如何跨域获取资源,传送门——> 浏览器同源策略跨域的实现方法 CORS跨域资源共享 跨域资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向跨源服务器,发出XMLHttpRequest请...
生产服务器遇到系统漏洞,并进行解决的一些方案
qq_46319647的博客
07-22 1123
application.yaml 下 修改springdoc配置修改为如下配置application-test.yaml 下 修改management 配置nginx.conf进行配置对nignx进行热补丁。
跨域资源共享(CORS)问题解决
哆啦AC梦的专栏
06-27 1491
今天在部署项目的时候遇到一个小问题,把项目扔在A服务器的tomcat上的时候,数据库在B服务器上。用客户端访问A服务器web项目的时候,使用ajax从数据库中读出的数据会提示【需要跨域资源共享(CORS)】。 于是乎,总结一下。 CORS:Cross-Origin Resource Sharing(跨域资源共享) CORS被浏览器支持的版本情况如下:Chrome 3+、IE 8+、
CORS解决方案汇总
2401_84466361的博客
06-16 4208
Cors全称"跨域资源共享"(Cross-origin resource sharing),Cors的出现是用来弥补SOP(同源策略)的足。在当时SOP有些限制了网页的业务需求,能够使同域的网页互相访问,因此提出了Cors:用于绕过SOP(同源策略)来实现跨域资源访问的一种技术。Cors漏洞就是攻击者利用Cors技术来获取用户的敏感数据,从而导致用户敏感信息泄露。
09.XSS跨站脚本攻击(超详细!!!)
m0_72760503的博客
08-02 3122
http : // www. oldboyedu.com :80 / news/index.php 协议 子域名 主域名 端口 资源地址当协议、主机(主域名,子域名)、端口中的任意一个相同时,称为同域。我们把同的域之间请求数据的操作,成为跨域操作。
application.properties详解 --springBoot配置文件
热门推荐
LPF的博客
10-19 3万+
# spring boot application.properties配置的各个属性详解 # 该示例文件作为标准提供。(官方文档 翻译过来的) # 还是花了些功夫翻译,各位如果转发,请留下本文地址,谢谢 # 翻译过程中难免出现翻译错误的地方,如果有哪位大神发现有错误的地方,请您留言指正,感激尽,共同进步。 # created  by lpf in 2017/10/19 # = = =
Web 开发 身份验证2 | SpringBoot 整合 JWT | 前后端分离策略 | 跨域问题的出现解决
希望每天都能进步一点点
07-24 478
基于上次SpringBoot 整合 JWT,在前后端分离的情况下使用 JWT 是比较麻烦的,如果配置拦截器,那么拦截器里需考虑页面跳转到问题,本次学习中我们实现在前后端分离情况下前后端的 JWT 认证,其中设计到了跨域问题,从零开始了解跨域,并介绍后端三种解决跨域同的方式,实现CORS方式的跨域。通过本篇文章,能提升对前后端交互方式的理解,前端目前只采用简短的 JQuery,未涉及路由的概念,下次学习我将使用 Vue2来实现 JWT认证,到时候可以用到路由,这样一来,前后端交互的逻辑就更加清晰了。...
spring boot 2.0():application.properties配置文件(日志配置为例)
浪浪的船长
08-31 1万+
 spring boot 底层默认实现的是 SLF4J + Logback,使用起来非常方便,配置也非常简单,如下: 一 导入依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-logging...
Redis最佳实践——安全稳定性保障之连接池管理详解
专注分享技术、实用优质教程、资源
06-01 1557
Redis最佳实践——安全稳定性保障之连接池管理详解
第二章 2.3 数据存储安全风险之数据存储风险防范
weixin_43172311的博客
06-04 834
大家好,今天我想大家聊聊一个既专业又我们生活息息相关的话题——数据安全风险防控。无论你是普通用户还是技术从业者,了解这些内容都能帮助你在数字世界中更好地保护自己他人。
企业私有化部署DeepSeek实战指南:从硬件选型到安全运维——基于国产大模型的安全可控落地实践
最新发布
MILI_NFT的博客
06-04 893
随着《生成式AI服务管理暂行办法》实施(2025年4月起),私有化部署将成为企业智能化转型的合规基线,建议优先采用模块化架构为未来升级预留空间。:金融风控(需实时数据处理)、医疗诊断(敏感病历保护)、政务系统(合规性要求)等高隐私需求领域。注:显存容量需≥模型参数×1.5(FP16精度),例如67B模型需≥100GB显存池。模型权重文件(67B约90GB)+ 日志缓存空间(建议预留1TB SSD)启用4-bit量化(降低50%显存):load_in_4bit=True。
Neo4j 安全深度解析:原理、技术最佳实践
weixin_30777913的博客
06-04 431
其有效性依赖于对纵深防御策略的严格执行持续维护。通过深入理解其安全模型,严格遵循最佳实践,并保持警惕性监控,可以显著提升图数据资产的安全性,为关键业务应用构建坚实可信的基础。定期查阅官方安全文档是保持配置符合最新安全标准的关键。在当今数据驱动的世界中,图数据库承载着关键的关系信息,其安全性至关重要。Neo4j 提供了一套多层次、纵深防御的安全体系。Neo4j 的安全体系提供了从认证授权到数据加密、审计追溯的完整解决方案
C++高级编程深度指南:内存管理、安全函数、递归、错误处理、命令行参数解析、可变参数应用未定义行为规避
Rachelhi的博客
05-30 1239
1. 可变参数 1.1 可变参数的定义原理 1.2 使用可变参数的场景 1.3 可变参数的实现方式 1.3.1 省略号方式 1.3.2 模板参数包方式 2.2 动态内存分配函数 2.3 内存泄漏内存溢出 3.1 错误处理机制概述 3.2 异常处理机制 示例代码 异常处理的优点 异常处理的缺点 3.3 错误处理的实践 使用异常处理机制 使用智能指针管理资源 使用RAII管理资源 使用断言进行调试 避免使用全局变量 使用日志记录错误信息 4.1 递归的定义原理 示例代码:计算阶乘 示例代码:计算斐波那契数
Spring Security安全实践指南
静水深流
06-01 1106
本文探讨了应用程序安全性的核心价值Spring Security的架构基础。安全性需要根据数据敏感度分级实施,漏洞会导致多维损失(经济、信誉、法律)。通过典型案例分析,论证了防御投入远低于漏洞修复成本。Spring Security采用过滤器链认证管理器架构,支持密码编码器演进最小权限原则,提供表单登录HTTP Basic等认证方式。系统设计应遵循"默认拒绝"原则,通过分层防护保障关键系统安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

暴走的YH

非常感谢大家的鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值