क्या क्रॉस-डोमेन AJAX अनुरोध करने का एक सुरक्षित तरीका है?

Question 1

कॉर्स (क्रॉस-ओरिजिनल रिसोर्स शेयरिंग) के बारे में पढ़ने के बाद, मुझे समझ नहीं आया कि यह सुरक्षा को कैसे बेहतर बनाता है। यदि सही ORIGIN हेडर भेजा गया है तो क्रॉस-डोमेन AJAX संचार की अनुमति है। एक उदाहरण के रूप में, अगर मैं भेजता हूं

मूल: http://example.com

सर्वर जाँचता है कि क्या यह डोमेन श्वेत सूची में है और यदि यह हैडर, तो:

प्रवेश-नियंत्रण-अनुमति-उत्पत्ति: [यहाँ url प्राप्त किया]

प्रतिक्रिया के साथ वापस भेज दिया जाता है (यह सरल मामला है, पहले से अनुरोध किए गए अनुरोध भी हैं, लेकिन सवाल वही है)।

क्या यह वास्तव में सुरक्षित है? यदि कोई व्यक्ति सूचना प्राप्त करना चाहता है, तो ओरिगिन हेडर को फेकना वास्तव में बहुत मामूली काम लगता है। साथ ही मानक का कहना है कि नीति को ब्राउज़र में लागू किया गया है, अगर एक्सेस-कंट्रोल-अनुमति-उत्पत्ति सही नहीं है, तो प्रतिक्रिया को अवरुद्ध करना। जाहिर है अगर कोई भी उस जानकारी को प्राप्त करने की कोशिश कर रहा है, तो वह इसे ब्लॉक करने के लिए एक मानक ब्राउज़र का उपयोग नहीं करेगा।

Question 2

आप एक वेब ब्राउज़र में जावास्क्रिप्ट के साथ एक ओरिजिनल हेडर को नकली नहीं कर सकते। कोर कि रोकने के लिए बनाया गया है।

एक वेब ब्राउज़र के बाहर, यह कोई फर्क नहीं पड़ता। यह लोगों को मिलने वाले डेटा को रोकने के लिए डिज़ाइन नहीं किया गया है। आप इसे बिना सदस्यों के जनता के सामने नहीं ला सकते।

इसे इस प्रकार बनाया गया है कि इसे दिया जाए:

ऐलिस, एक व्यक्ति जो एक एपीआई प्रदान करता है जिसे अजाक्स के माध्यम से एक्सेस करने के लिए डिज़ाइन किया गया है
बॉब, वेब ब्राउज़र वाला व्यक्ति
चार्ली, अपनी खुद की वेबसाइट चलाने वाली एक तीसरी पार्टी है

यदि बॉब चार्ली की वेबसाइट पर जाता है, तो चार्ली जेएस को बॉब के ब्राउज़र में नहीं भेज सकता है ताकि वह एलिस की वेबसाइट से डेटा प्राप्त कर सके और चार्ली को भेज सके।

उपरोक्त स्थिति और अधिक महत्वपूर्ण हो जाती है यदि बॉब के पास ऐलिस की वेबसाइट पर एक उपयोगकर्ता खाता है जो उसे पोस्ट टिप्पणियों, डेटा को हटाने, या डेटा देखने की अनुमति देता है जो आम जनता के लिए उपलब्ध नहीं है - चूंकि सुरक्षा के बिना, चार्ली का जेएस बॉब के ब्राउज़र को बता सकता है। बॉब की पीठ के पीछे ऐसा करने के लिए (और फिर चार्ली को परिणाम भेजें)।

यदि आप अनधिकृत लोगों को डेटा देखने से रोकना चाहते हैं, तो आपको इसे पासवर्ड, एसएसएल क्लाइंट सेर्ट या पहचान-आधारित प्रमाणीकरण / प्राधिकरण के कुछ अन्य माध्यमों से बचाने की आवश्यकता है।

Question 3

इसे रोकने का उद्देश्य है -

आप वेबसाइट X पर जाएं
वेबसाइट X के लेखक ने एक बुरी स्क्रिप्ट लिखी है जो आपके ब्राउज़र को भेजी जाती है
स्क्रिप्ट अपने बैंक की वेबसाइट पर आपके ब्राउज़र लॉग पर चल रहा है और बुराई सामान करता है और क्योंकि यह चल रहा है कि के रूप में आप अपने ब्राउज़र में ऐसा करने की अनुमति नहीं है।

विचार यह है कि आपके बैंक की वेबसाइट को आपके ब्राउज़र को बताने के लिए किसी तरह की आवश्यकता है यदि वेबसाइट एक्स पर स्क्रिप्ट आपके बैंक में पृष्ठों तक पहुंचने के लिए विश्वसनीय होनी चाहिए।

Question 4

बस @jcoder के उत्तर को जोड़ने के लिए, Originहेडर का पूरा बिंदु सर्वर पर अनुरोधित संसाधनों की सुरक्षा के लिए नहीं है। यह कार्य सर्वर पर ही अन्य माध्यमों से होता है, क्योंकि एक हमलावर वास्तव में इस हेडर को उचित टूल्स के साथ खराब कर सकता है।

Originहेडर का बिंदु उपयोगकर्ता की सुरक्षा करना है। परिदृश्य निम्न है:

एक हमलावर एक दुर्भावनापूर्ण वेबसाइट M बनाता है
एक उपयोगकर्ता ऐलिस को M से कनेक्ट करने के लिए छल किया जाता है, जिसमें एक स्क्रिप्ट होती है जो सर्वर B पर कॉर्स के माध्यम से कुछ क्रियाओं को करने की कोशिश करती है जो SS का समर्थन करती है
B के Access-Control-Allow-Originहेडर में शायद M नहीं होगा , इसका कारण यह होगा?
निर्णायक बिंदु यह है कि Originहेडर को खराब करने या अधिलेखित करने के लिए एम का कोई मतलब नहीं है , क्योंकि अनुरोध ऐलिस के ब्राउज़र द्वारा शुरू किए गए हैं। तो उसका ब्राउज़र OriginM को सेट (सही) करेगा, जो Access-Control-Allow-OriginB के नहीं है, इसलिए अनुरोध विफल हो जाएगा।

ऐलिस Originहेडर को स्वयं बदल सकता है, लेकिन वह क्यों करेगा, क्योंकि इसका मतलब होगा कि वह खुद को नुकसान पहुंचा रहा है?

TL; DR: Originशीर्ष लेख निर्दोष उपयोगकर्ता की सुरक्षा करता है। यह एक सर्वर पर संसाधनों को सुरक्षित नहीं करता है। यह किसी हमलावर द्वारा अपनी मशीन पर खराब किया जाता है, लेकिन यह मशीन पर उसके नियंत्रण के तहत नहीं खराब हो सकता है।

सर्वर को अभी भी अपने संसाधनों की रक्षा करनी चाहिए, क्योंकि मिलान Originहेडर का अर्थ अधिकृत एक्सेस नहीं है। हालाँकि, Originशीर्ष लेख जो मेल नहीं खाता है, का अर्थ है अनधिकृत पहुँच।

Question 5

समान मूल नीति का उद्देश्य आम तौर पर लोगों को वेबसाइट सामग्री तक पहुंचने से रोकना नहीं है; अगर कोई ऐसा करना चाहता है, तो उन्हें ब्राउज़र की भी आवश्यकता नहीं है। मुद्दा यह है कि क्लाइंट स्क्रिप्ट को आवश्यक एक्सेस अधिकारों के बिना किसी अन्य डोमेन पर सामग्री तक पहुंचने से रोका जाए। वही मूल नीति के लिए विकिपीडिया प्रविष्टि देखें ।

Question 6

कॉर्स के बारे में पढ़ने के बाद, मुझे समझ नहीं आया कि यह सुरक्षा में सुधार कैसे करता है।

कॉर्स सुरक्षा में सुधार नहीं करता है। कॉर्स सर्वरों को यह बताने के लिए एक तंत्र प्रदान करता है कि उन्हें विदेशी डोमेन द्वारा कैसे एक्सेस किया जाना चाहिए, और यह ऐसा करने की कोशिश करता है जो ब्राउज़र सुरक्षा मॉडल के अनुरूप है जो कॉर्स (अर्थात् समान उत्पत्ति नीति ) से पहले मौजूद था ।

लेकिन समान उत्पत्ति नीति और कोर में एक सीमित गुंजाइश है। विशेष रूप से, CORS विनिर्देशन में अनुरोधों को अस्वीकार करने का कोई तंत्र नहीं है। यह ब्राउज़र को यह बताने के लिए हेडर का उपयोग कर सकता है कि किसी विदेशी डोमेन के पेज को प्रतिक्रिया न पढ़ने दें। और, प्रीफ़्लाइट अनुरोधों के मामले में, यह ब्राउज़र को विदेशी डोमेन से कुछ निश्चित अनुरोध नहीं भेजने के लिए कह सकता है। लेकिन सर्वर वास्तविक अनुरोध को अस्वीकार करने के लिए सर्वर के लिए कोई साधन निर्दिष्ट नहीं करता है (यानी निष्पादित नहीं है)।

एक उदाहरण लेते हैं। एक उपयोगकर्ता Aकुकी के माध्यम से साइट पर लॉग इन होता है । उपयोगकर्ता भार दुर्भावनापूर्ण साइट Mहै, जो एक रूप है कि एक करता सबमिट करने का प्रयास POSTकरने के लिए A। क्या होगा? ठीक है, कोर के साथ या बिना, और Mएक अनुमति के डोमेन के साथ या बिना , ब्राउज़र Aउपयोगकर्ता के प्राधिकरण कुकी के साथ अनुरोध भेजेगा , और सर्वर दुर्भावनापूर्ण POSTरूप से निष्पादित करेगा जैसे कि उपयोगकर्ता ने इसे शुरू किया था।

इस हमले को क्रॉस-साइट रिक्वेस्ट फॉरेरी कहा जाता है , और कॉर्स खुद इसे कम करने के लिए कुछ नहीं करता है। इसलिए यदि आप उपयोगकर्ताओं की ओर से डेटा बदलने के अनुरोधों को अनुमति देते हैं तो CSRF सुरक्षा बहुत महत्वपूर्ण है।

अब, Originहेडर का उपयोग आपके CSRF सुरक्षा का एक महत्वपूर्ण हिस्सा हो सकता है। वास्तव में, इसकी जाँच बहु-स्तरीय सीएसआरएफ रक्षा के लिए वर्तमान सिफारिश का हिस्सा है । लेकिन Originहैडर का उपयोग कोर स्पेसिफिकेशन के बाहर होता है।

संक्षेप में, CORS मौजूदा समान उत्पत्ति नीति सुरक्षा मॉडल को अन्य स्वीकृत डोमेन में विस्तारित करने के लिए एक उपयोगी विनिर्देश है। यह सुरक्षा को नहीं जोड़ता है, और साइटों को उसी प्रकार के रक्षा तंत्र की आवश्यकता होती है जो उन्होंने CORS से पहले किए थे।

Question 7

मुझे उत्तर देने में देर हो रही है लेकिन मुझे नहीं लगता कि यहां कोई भी पोस्ट वास्तव में मांगे गए उत्तर प्रदान करता है। सबसे बड़ा तरीका यह होना चाहिए कि ब्राउज़र वह एजेंट है जो originहेडर मान लिख रहा है । एक दुष्ट स्क्रिप्ट originहेडर मान नहीं लिख सकती है । जब सर्वर Access-Control-Allow-Originहेडर के साथ वापस प्रतिक्रिया करता है, तो ब्राउज़र यह सुनिश्चित करने की कोशिश करता है कि इस हेडर में originपहले भेजा गया मूल्य है। यदि नहीं, तो यह एक त्रुटि को ट्रिगर करता है और वापस मांग वाले स्क्रिप्ट पर मान वापस नहीं करता है। इस प्रश्न के अन्य उत्तर एक अच्छा परिदृश्य प्रस्तुत करते हैं जब आप एक उत्तर को बुरी लिपि में अस्वीकार करना चाहेंगे।

@daniel f भी सवाल का एक अच्छा जवाब प्रदान करता है