Cross-Origin Read Blocking (CORB)

2024-05-01 14:04
文章标签 origin read cross blocking corb

本文主要是介绍Cross-Origin Read Blocking (CORB),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Cross-Origin Read Blocking (CORB) 是一种安全机制,用于保护Web应用免受跨域读取攻击。

跨域读取攻击可能会导致网站上的敏感信息被恶意代码访问和读取。这种攻击方式通常利用浏览器对不同源的资源访问的限制进行绕过。

CORB通过在浏览器中引入一种新的安全检测机制来解决这个问题。当浏览器尝试读取跨域资源(如图片、样式表、脚本等)时,CORB将检测是否存在安全问题。如果存在潜在的安全问题,CORB将阻止浏览器读取该资源,并返回一个空的响应,以保护网站的敏感信息。

CORB的工作原理

当浏览器发起跨域请求时,它会在收到响应之前先检查响应的内容类型。如果响应的内容类型不是被视为安全的类型(如HTML、XML、JSON等),浏览器就会阻止网页读取该响应的内容。这是一种安全机制,用于阻止跨域读取攻击,旨在保护Web应用程序免受恶意网站的攻击。通过阻止恶意网站读取其他域名下的敏感数据,CORB可以有效保护用户的隐私和安全。

CORB 可以缓解哪些攻击?

  • Cross-Site Script Inclusion (XSSI)

    • <script>XSSI 是一种将标签指向非 JavaScript 目标资源的技术,并在将结果资源解释为 JavaScript 时观察一些副作用。这种攻击的一个早期例子是在 2006 年发现的:通过覆盖 JavaScript 数组构造函数,JSON 列表的内容可以被简单地拦截<script src="https://example.com/secret.json">:虽然数组构造函数攻击向量在当前浏览器中已得到修复,但在接下来的十年中发现并修复了许多类似的漏洞。
    • CORB 可防止此类攻击,因为受 CORB 保护的资源将被阻止传递到跨站点<script>元素。
    • 在缺乏其他 XSSI 防御(例如XSRF 令牌和/或JSON 安全前缀)的情况下,CORB 特别有价值。此外,XSSI 防御(例如JSON 安全前缀)的存在也可以用作 CORB 算法的信号,表明资源应该受到 CORB 保护。
  • Speculative Side Channel Attack (例如: Spectre).

    • 例如,攻击者可能使用一个<img src="https://example.com/secret.json">元素将跨站点秘密拉入攻击者的 JavaScript 运行的进程中,然后使用推测性侧通道攻击(例如Spectre)来读取秘密。
    • 当与站点隔离一起使用时,CORB 可以通过防止 JSON 资源出现在托管跨站点页面的进程的内存中来防止此类攻击。

CORB 如何“阻止”响应?

当浏览器接收到跨域请求并收到响应时,CORB会检查响应的内容类型(MIME类型)。如果响应的内容类型被视为可能包含敏感信息(例如,MIME类型为"text/html"且响应中可能包含JavaScript脚本),浏览器会自动阻止该响应的读取,避免恶意网站利用跨站脚本攻击(XSS)来读取其他网站的数据。

这一阻止过程是在浏览器内部进行的,用户通常无法直接感知。浏览器通过解析响应头中的Content-Type字段来确定MIME类型,并根据其安全策略来决定是否允许网页读取该响应。如果MIME类型不符合安全标准,浏览器就会拦截该响应,防止恶意脚本的执行和数据泄露。

此外,CORB还通过引入新的响应头来增强安全性。例如,通过设置Content-Type为"application/octet-stream",浏览器会将该响应视为二进制数据而不是HTML文档,从而进一步阻止对敏感信息的读取。

哪些类型的内容受 CORB 保护?

  1. 非文本格式:如图像(JPEG、PNG 等)、音频、视频和其他二进制格式。虽然这些格式本身通常不是跨站读取攻击的目标,但CORB 的机制可能也会覆盖它们,以防止任何潜在的滥用。

  2. 不常见的文本格式:这些可能包括某些特定的 MIME 类型,它们不是通常用于网页显示的文本类型(例如,非标准的文本编码或旧的、较少使用的格式)。

  3. JavaScript 代码:虽然 JavaScript 通常用于网页交互,但恶意网站可能会尝试利用跨域请求来读取其他网站上的 JavaScript 代码,以获取敏感信息或执行其他恶意操作。因此,JavaScript 响应也可能受到 CORB 的保护。

  4. 不安全的或未知的内容类型:浏览器可能无法识别或处理某些内容类型,或者这些类型可能具有潜在的安全风险。在这种情况下,CORB 可能会采取预防措施,阻止网页读取这些响应

CORB 的具体实现和受保护的内容类型可能因浏览器而异,并且可能随着浏览器版本的更新而发生变化。为了确保Web应用程序的安全性和兼容性,应该了解并遵循最新的浏览器安全最佳实践,并避免依赖可能受到CORB或其他安全机制影响的行为。

总结

CORB(Cross-Origin Read Blocking)是一种安全机制,用于阻止跨域读取攻击,保护Web应用程序免受恶意网站的攻击。它由Google提出并实现。CORB的工作原理是,当浏览器发起跨域请求时,它会在收到响应之前先检查响应的内容类型。如果响应的内容类型不是被视为安全的类型(如HTML、XML、JSON等),浏览器就会阻止网页读取该响应的内容。

CORB的发生时机主要有两种情况:

  1. 当浏览器试图使用XMLHttpRequest或Fetch等API读取跨域资源时,如果跨域资源的MIME类型为text/html、application/xml或者是application/json等,同时该资源返回的响应头缺少Access-Control-Allow-Origin头或者不被允许跨域,浏览器就会阻止该跨域请求并报错;
  2. 如果当前页面通过iframe、script等标签引用了跨域资源,并且该资源的MIME类型为上述可能包含敏感信息的类型,同时响应头不满足跨域条件,浏览器同样会触发CORB机制阻止跨域资源的读取。

如需更详细的信息,可以参考 https://chromium.googlesource.com/chromium/src/+/refs/heads/main/services/network/cross_origin_read_blocking_explainer.md

这篇关于Cross-Origin Read Blocking (CORB)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/951882

相关文章

cross-plateform 跨平台应用程序-03-如果只选择一个框架,应该选择哪一个?

跨平台系列 cross-plateform 跨平台应用程序-01-概览 cross-plateform 跨平台应用程序-02-有哪些主流技术栈? cross-plateform 跨平台应用程序-03-如果只选择一个框架,应该选择哪一个? cross-plateform 跨平台应用程序-04-React Native 介绍 cross-plateform 跨平台应用程序-05-Flutte

vue 父组件调用子组件的方法报错,“TypeError: Cannot read property ‘subDialogRef‘ of undefined“

vue 父组件调用子组件的方法报错,“TypeError: Cannot read property ‘subDialogRef’ of undefined” 最近用vue做的一个界面,引入了一个子组件,在父组件中调用子组件的方法时,报错提示: [Vue warn]: Error in v-on handler: “TypeError: Cannot read property ‘methods

[轻笔记] pip install : Read timed out. (closed)

添加超时参数(单位秒) pip --default-timeout=10000 install ${package_name}

Cannot read property ‘length‘ of null while opening vscode terminal

同一问题地址:Cannot read property ‘length’ of null while opening vscode terminal 问题描述 One day, 我在ubuntu 18.04下用vscode打开一个项目,并想和往常一样在vscode使用终端,发现报错Cannot read property 'length' of null。 解决 打开setting.jso

访问controller404:The origin server did not find a current representation for the target resource

ider build->rebuild project。Rebuild:对选定的目标(Project),进行强制性编译,不管目标是否是被修改过。由于 Rebuild 的目标只有 Project,所以 Rebuild 每次花的时间会比较长。 参考:资料

王立平--Failed to push selection: Read-only file system

往android模拟器导入资源,失败。提示:只读文件、 mnt是只读文件。应点击sdcard,,在导入

uniapp微信小程序开发踩坑日记:Pinia持久化报错Cannot read property ‘localStorage‘ of undefined

插件默认使用 localStorage 实现持久化,小程序端不兼容,需要替换持久化 API import { defineStore } from 'pinia'   export const useCommonStore = defineStore('pack-store', {state: (): State => ({wwInfo: {},globalData: {},timerLoc

经验笔记:跨站脚本攻击(Cross-Site Scripting,简称XSS)

跨站脚本攻击(Cross-Site Scripting,简称XSS)经验笔记 跨站脚本攻击(XSS:Cross-Site Scripting)是一种常见的Web应用程序安全漏洞,它允许攻击者将恶意脚本注入到看起来来自可信网站的网页上。当其他用户浏览该页面时,嵌入的脚本就会被执行,从而可能对用户的数据安全构成威胁。XSS攻击通常发生在Web应用程序未能充分过滤用户提交的数据时,导致恶意脚本得以传递

macos 系统文件操作时提示 Read-only file system 解决方法

这个情况是因为文件系统为只读, 需要我们执行一下命令重新将系统文件挂载为读写模式, 命令如下: sudo mount -uw / 这里的 mount 就是硬盘挂载命令, 后面的 -uw选项说明如下, 最后的 / 表示的是跟目录, 可以指定要修改的挂载路径,也可以默认. -u     -u标志表示应更改已装载文件系统的状态。上述任何选项(-o选项)都可以更改;文件系统也可以从只读更改为读写,

redis被攻击redis READONLY You can‘t write against a read only slave.

redis 日志路径 /var/log/redis 拿下来后发现有这种错误 Operation now in progress 可能是网络断开导致, 查找redis whereis redis 修改 vim /etc/redis.conf 大概在300行 下面代码yes改no slave-read-only no 重启redis sudo systemctl restart