CORS

설명

CORS 잘못 구성 여부를 확인합니다. 여기에는 허용된 Origin 헤더의 과도하게 느슨한 화이트리스트 또는 Origin 헤더를 검증하지 않는 것이 포함됩니다. 또한 잠재적으로 유효하지 않거나 위험한 Origin에서 자격 증명을 허용하는 것과 캐시 오염을 초래할 수 있는 누락된 헤더를 확인합니다.

수정 방법

잘못 구성된 CORS 구현은 신뢰할 수 있는 도메인과 신뢰 수준에 대해 너무 관대할 수 있습니다. 이는 신뢰할 수 없는 도메인이 Origin 헤더를 위조하고 교차 사이트 요청 위조 또는 교차 사이트 스크립팅과 같은 다양한 유형의 공격을 감행할 수 있게 합니다. 공격자는 잠재적으로 피해자의 자격 증명을 도용하거나 피해자를 대신해 악의적인 요청을 보낼 수 있습니다. 피해자는 공격이 감행되고 있다는 사실조차 알지 못할 수 있습니다.

링크