安全でない「Access-Control-Allow-Origin」ヘッダー

low Web App Scanning プラグイン ID 98057

Language:

概要

説明

クロスオリジンリソース共有 (CORS) は、最新の Web ブラウザが同一オリジンポリシーによって実装された制限をバイパスできるようにする HTML5 テクノロジーです。

同一オリジンポリシーでは、JavaScript がページとやり取りできるように、JavaScript とページの両方が同じドメインからロードされる必要があります。これにより、外部ドメインからロードされたときに悪意のある JavaScript が実行されることを防ぎます。

CORS ポリシーでは、アプリケーションはブラウザによって実装された保護に対する例外を指定でき、開発者は外部 JavaScript の実行およびページとのやり取りが許可されている許可リストのドメインを指定できます。

「Access-Control-Allow-Origin」ヘッダーが「*」または null に設定されている場合、任意のドメインがクロスドメインリクエストを実行し、応答を読み取ることができるため、安全ではありません。攻撃者がこの構成を悪用し、標準の認証メカニズムを使用しないアプリケーション (内部ネットワークからのアクセスのみを許可するイントラネットなど) からプライベートコンテンツを取得する可能性があります。

ソリューション

ターゲットアプリケーションがパブリックコンテンツを任意のドメインに提供するように特別に設計されていない限り、「Access-Control-Allow-Origin」は、既知の信頼できるドメインのみを含む許可リストを使用して構成し、必要に応じてクロスドメインリクエストを実行するか、無効にする必要があります。