CORS - jak to działa serwer-serwer

Question

Witam,

Próbuje zrozumieć zasadę działania CORS i o ile wiem jak to wszystko działa jako klient-serwer to nie bardzo mogę zrozumieć czemu już błędu nie ma gdy wykonujemy zapytanie serwer-serwer. Biorąc pod uwagę np. wykradanie cookie/sesji to czy nie nie byłoby możliwe, że  gdy użytkownik otwiera złośliwą stronę i wtedy wykradane są mu cookie/sesje i przesyłane do serwera a ten by już wszystko zrobił czyli atak ?

Answer 1

Jeśli chodzi o proponowany atak: żeby wykraść cookie po stronie przeglądarki, muszą one być dostępne z poziomu JS. Odpowiednie przygotowanie ciastek (HTTPS only + Same-Site) de facto eliminują możliwość odczytania ich po stronie JS. Dodatkowo można kontrolować, czy cookies są wysyłane dla żądań CORS--owych. Do tego dochodzi samo zabezpieczenie sesji przez choćby regenerowanie przy każdym żądaniu id sesji i sprawdzanie jej spójności (IP usera, przeglądarka itp. itd.). Takie ataki są wbrew pozorom trudne do przeprowadzenia dla dobrze zabezpieczonych stron WWW.

A co do CORS na poziomie serwer-serwer: nie miałoby to sensu, bo CORS to zabezpieczenie wynikające z modelu Same Origin. A ten na serwerze nie miałby racji bytu.

Answer 2

Cors jest implementowany w przeglądarkach. Nie musisz się o niego martwić przy requestach Klient-serwer, gdy klient to cURL, Android itp., lub serwer-serwer.

Co do pomysłu na atak, to opisz go dokładniej.