我可能对此有些误解,所以如果是这样的话,请原谅我……
Web 浏览器能够允许远程 Web 服务器访问本地网络资源……即浏览计算机上的本地主机,以及浏览器后面的其他网络设备。此功能默认启用,没有 UI 界面可以禁用它。
这对我来说是个新闻,有点吓人。为什么有人会允许远程站点通过浏览器向内部其他设备发送命令……大概是受到网络防火墙的保护,以防止这种情况发生?!?!?!
有人能给我解释一下吗?当我在谷歌上搜索“禁用 CORS”时,似乎这会使它更加开放且更不安全。我想彻底禁用该功能。
我发现了一个可能的答案: https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS/Errors/CORSDisabled 引用了“content.cors.disable”,但我在其他地方找不到该设置的提及,并且链接没有详细说明它的具体功能。这个名字听起来像我想要的,但我不想做出这样的假设,最终让事情变得更糟。
如果有人能解释一下,我将不胜感激。如果这是错误的论坛,请告诉我应该将其发布到哪个 SE 网站。
谢谢
答案1
您读到的这篇文章写得非常耸人听闻,而且耸人听闻的程度也非常新颖。实际上,浏览器可以很好地抵御外部攻击,本地资源也得到了很好的保护。
跨域资源共享 (CORS) 已经存在于所有主流浏览器上,定义为:
一种机制,允许从提供第一个资源的域之外的另一个域请求网页上的受限资源。
这意味着亚马逊上看似无害的广告无法使用 JavaScript 从恶意的第三方网站下载代码。
您可以在 Mozilla 文章中找到更多信息 跨域资源共享 (CORS) 对于访问第三方网站有哪些限制。
您看到的文章谈到 Chrome 会进一步收紧 CORS。如果您禁用 CORS,您的浏览器将面临此类攻击,这与您的愿望背道而驰。
如果您希望进一步提高对恶意 JavaScript 的防护,您可以使用 NoScript 等扩展程序,它禁止执行所有未经您手动列入白名单的网站上的 JavaScript。