Đăng ký tên miền chéo

Tôi đã thấy các bài viết và bài đăng trên tất cả (bao gồm SO) về chủ đề này và bình luận phổ biến là chính sách cùng nguồn gốc ngăn chặn một biểu mẫu POST trên các tên miền. Nơi duy nhất tôi thấy ai đó đề xuất rằng chính sách cùng nguồn gốc không áp dụng cho các bài đăng mẫu, là ở đây .

Tôi muốn có câu trả lời từ một nguồn chính thức hoặc "chính thức" hơn. Ví dụ, có ai biết RFC giải quyết vấn đề cùng nguồn gốc như thế nào hoặc không ảnh hưởng đến POST mẫu không?

làm rõ : Tôi không hỏi liệu GET hoặc POST có thể được xây dựng và gửi đến bất kỳ miền nào không. Tôi đang hỏi:

1. nếu Chrome, IE hoặc Firefox sẽ cho phép nội dung từ miền 'Y' gửi POST đến miền 'X'
2. nếu máy chủ nhận POST thực sự sẽ thấy bất kỳ giá trị biểu mẫu nào. Tôi nói điều này bởi vì phần lớn những người kiểm tra hồ sơ thảo luận trực tuyến nói rằng máy chủ đã nhận được bài đăng, nhưng các giá trị biểu mẫu đều trống / bị loại bỏ.
3. Tài liệu chính thức nào (tức là RFC) giải thích hành vi dự kiến ​​là gì (bất kể những gì trình duyệt hiện đang thực hiện).

Ngẫu nhiên, nếu cùng nguồn gốc không ảnh hưởng đến POST mẫu - thì điều đó làm cho phần nào rõ ràng hơn về lý do tại sao các mã thông báo chống giả mạo là cần thiết. Tôi nói "phần nào" bởi vì có vẻ quá dễ dàng để tin rằng kẻ tấn công có thể đơn giản phát hành HTTP GET để lấy một biểu mẫu có chứa mã thông báo chống giả mạo và sau đó tạo một POST bất hợp pháp có chứa mã thông báo tương tự. Bình luận?

Chính sách nguồn gốc tương tự chỉ áp dụng cho các ngôn ngữ lập trình phía trình duyệt. Vì vậy, nếu bạn cố gắng đăng lên một máy chủ khác với máy chủ gốc bằng JavaScript, thì chính sách nguồn gốc tương tự sẽ xuất hiện nhưng nếu bạn đăng trực tiếp từ biểu mẫu tức là hành động trỏ đến một máy chủ khác như:

<form action="http://someotherserver.com">

và không có javascript liên quan đến việc đăng mẫu, thì chính sách xuất xứ tương tự không được áp dụng.

Xem wikipedia để biết thêm thông tin

Có thể xây dựng một yêu cầu GET hoặc POST tùy ý và gửi nó đến bất kỳ máy chủ nào có thể truy cập vào trình duyệt nạn nhân. Điều này bao gồm các thiết bị trên mạng cục bộ của bạn, chẳng hạn như Máy in và Bộ định tuyến.

Có nhiều cách để xây dựng một khai thác CSRF. Một cuộc tấn công CSRF dựa trên POST đơn giản có thể được gửi bằng .submit()phương thức. Các cuộc tấn công phức tạp hơn, chẳng hạn như các cuộc tấn công CSRF tải lên tệp chéo trang sẽ khai thác việc sử dụng CORS của hành vi xhr.withCredentals .

CSRF không vi phạm Chính sách cùng nguồn gốc đối với JavaScrip t vì SOP liên quan đến JavaScript khi đọc phản hồi của máy chủ đối với yêu cầu của máy khách. Các cuộc tấn công CSRF không quan tâm đến phản hồi, họ quan tâm đến tác dụng phụ hoặc thay đổi trạng thái do yêu cầu tạo ra, chẳng hạn như thêm người dùng quản trị hoặc thực thi mã tùy ý trên máy chủ.

Đảm bảo rằng các yêu cầu của bạn được bảo vệ bằng một trong các phương pháp được mô tả trong Bảng Cheat Ngăn chặn CSRF của OWASP . Để biết thêm thông tin về CSRF, hãy tham khảo trang OWASP trên CSRF .

Chính sách nguồn gốc tương tự không liên quan gì đến việc gửi yêu cầu đến một url khác (giao thức hoặc tên miền hoặc cổng khác nhau).

Đó là tất cả về việc hạn chế quyền truy cập (đọc) dữ liệu phản hồi từ một url khác. Vì vậy, mã JavaScript trong một trang có thể đăng lên tên miền tùy ý hoặc gửi biểu mẫu trong trang đó tới bất kỳ đâu (trừ khi biểu mẫu nằm trong iframe có url khác nhau).

Nhưng điều làm cho các yêu cầu POST này không hiệu quả là các yêu cầu này thiếu mã thông báo chống giả, do đó bị bỏ qua bởi các url khác. Hơn nữa, nếu JavaScript cố lấy mã thông báo bảo mật đó, bằng cách gửi yêu cầu AJAX đến url nạn nhân, nó sẽ bị ngăn truy cập dữ liệu đó theo Chính sách xuất xứ tương tự.

Một ví dụ điển hình: ở đây

Và một tài liệu tốt từ Mozilla: tại đây