Met behulp van de Google Chrome-browser om de cross-domain callinterface te testen, wordt een fout gerapporteerd in de volgende figuur:
Toegang tot XMLHttpRequest op 'http://192.168.50.227:9200/' vanaf oorsprong 'http://www.xxx.com' is geblokkeerd door het CORS-beleid: De requestclient is geen beveiligde context en de bron bevindt zich in meer-privé adresruimte 'privé'.
Voer het volgende in de navigatiebalk van de browser:
Blokkeer onveilige privénetwerkverzoeken. Drooglegging, dat wil zeggen, landbouwinvalideHerstart je browser.
Voorkomt dat niet-beveiligde contexten subresourceverzoeken doen naar meer private IP-adressen. Een IP-adres IP1 is privér dan IP2 als 1) IP1 localhost is en IP2 niet, of 2) IP1 privé is en IP2 publiek. Dit is een eerste stap richting volledige handhaving van CORS-RFC1918:https://wicg.github.io/cors-rfc1918– Mac, Windows, Linux, Chrome OS, Android
Voorkom dat niet-beveiligingscontexten subresourceverzoeken doen naar meer toegewijde IP-adressen. Als 1) IP1 localhost is en IP2 niet, of 2) IP1 privé is en IP2 openbaar, dan is het IP-adres IP1 privéer dan IP2. Dit is de eerste stap in de volledige implementatie van CORS-RFC1918:https://wicg.github.io/cors-rfc1918– Mac, Windows, Linux, Chrome OS, Android 
Mijn eigen begrip: Het doel van Google Chrome kan om veiligheidsredenen zijn, om toegang tot externe websites die direct over de host lopen die het LAN scannen, te voorkomen, als sommige servers op het LAN kwetsbare diensten installeren die cross-domain toegang mogelijk maken, zodat externe websites kwetsbare diensten op het LAN kunnen aanvallen via kwetsbaarheden.
(Einde)
|
Geplaatst op 07-11-2021 20:00:32
|
|
|
|
