[JQUERY] $ .support.cors = true를 사용하는 것이 안전합니까? jQuery에서?

$ .support.cors = true를 사용하는 것이 안전합니까? jQuery에서?

해결법

1. ---

   1.XSS는 jQuery에서 활성화 할 수있는 기능이 아닙니다. jQuery 코어가 XSS 취약성을 가졌지 만 가능한 것이 가능하지만 DOM 기반 XSS라는 것이 매우 특이합니다.

   XSS는 jQuery에서 활성화 할 수있는 기능이 아닙니다. jQuery 코어가 XSS 취약성을 가졌지 만 가능한 것이 가능하지만 DOM 기반 XSS라는 것이 매우 특이합니다.

   "Cross-Origin Resource Shareing"또는 Cors는 XSS와 동일하지는 않지만 웹 응용 프로그램에 XSS 취약점이있는 경우 공격자는 해당 도메인의 모든 리소스에 대한 코어와 같은 액세스 권한을 갖게됩니다. 간단히 말해서 CORS는 XSS 취약점에 전체를 소개 할 필요가 없도록 동일한 원점 정책을 어떻게 해결 하는지를 제어 할 수 있습니다.

   $ .support.cors 쿼리 기능은 액세스 제어 허용 Origin HTTP 응답 헤더에 의존합니다. 이것은 취약점 일 수 있습니다. 예를 들어 웹 응용 프로그램에 액세스 제어 - 허용 기원 : * 모든 페이지에서 공격자는 XSS Vulenrablity와 동일한 수준의 액세스 수준을 가질 수 있습니다. Cors 헤더를 소개하고 가능한 한 많이 시도하고 피하십시오.

   그래서 귀하의 질문에 답변하기 위해서 : CORS / JSONP / Cross Domain Proxies / Access-Control-Origin과 같은 SOP 주위에 XSS 취약점을 도입 할 필요가 없습니다.

2. ---

   2.브라우저에서 Cors가 활성화 된 경우에만 도움이 될 수 있지만 아직 jQuery에서 지원하지 않습니다.

   브라우저에서 Cors가 활성화 된 경우에만 도움이 될 수 있지만 아직 jQuery에서 지원하지 않습니다.

   이 속성을 true로 설정하면 보안 취약점이 발생할 수 없습니다.

3. ---

   3.해커가 스크립트 코드를 다른 도메인으로 변경하기 위해 스크립트 코드를 삽입 할 수 있으면 스크립트 에서이 JavaScript 플래그를 설정할 수도 있습니다.

   해커가 스크립트 코드를 다른 도메인으로 변경하기 위해 스크립트 코드를 삽입 할 수 있으면 스크립트 에서이 JavaScript 플래그를 설정할 수도 있습니다.

   따라서이 플래그가 설정되어 있는지 여부는 침입 시점에서별로 변경되지 않습니다.

from https://stackoverflow.com/questions/7852225/is-it-safe-to-use-support-cors-true-in-jquery by cc-by-sa and MIT license