CORB：揭开安全跨域请求的隐秘面纱

引言：跨域请求的起源与挑战

在当今互联网世界中，应用程序和服务之间的通信是不可避免的。然而，当这些应用程序和服务位于不同的域时，就会出现跨域请求的问题。

跨域请求是指从一个域向另一个域发送HTTP请求。浏览器出于安全考虑，默认情况下会阻止跨域请求。这是因为跨域请求可能被用来发起跨站请求伪造（CSRF）攻击，从而窃取用户敏感信息或执行未经授权的操作。

为了解决跨域请求的问题，浏览器引入了跨域资源共享（CORS）机制。CORS允许浏览器在某些条件下放宽跨域请求的限制，从而允许应用程序和服务之间安全地进行通信。

CORB：CORS 的安全升级

跨域资源共享（CORS）虽然能够解决跨域请求的问题，但它也存在一些局限性。例如，CORS无法防止跨域请求携带凭据（如cookies和授权头），这可能会导致CSRF攻击。

为了解决CORS的局限性，浏览器引入了跨域资源策略（CORB）机制。CORB是对CORS的升级，它提供了更加严格的安全保障。

CORB的工作原理

CORB通过在服务器端配置一个HTTP头来实现。该HTTP头称为“Cross-Origin-Resource-Policy”。

“Cross-Origin-Resource-Policy”HTTP头可以指定以下几个值：

• same-origin ：仅允许来自相同域的请求。
• same-site ：仅允许来自相同站点的请求。
• same-origin-allow-popups ：允许来自相同域和具有相同协议的请求。
• unsafe-none ：禁止所有跨域请求。

CORB与CORS的区别

CORB与CORS的主要区别在于安全性。CORB更加严格，它可以防止跨域请求携带凭据，从而可以有效防止CSRF攻击。

如何在应用程序中使用CORB

要使用CORB，您需要在服务器端配置“Cross-Origin-Resource-Policy”HTTP头。该HTTP头的值可以根据您的安全需求进行设置。

例如，如果您想禁止所有跨域请求，您可以将“Cross-Origin-Resource-Policy”HTTP头设置为“unsafe-none”。

如果您想仅允许来自相同域的请求，您可以将“Cross-Origin-Resource-Policy”HTTP头设置为“same-origin”。

CORB的优势

使用CORB具有以下优势：

• 增强安全性 ：CORB可以防止跨域请求携带凭据，从而可以有效防止CSRF攻击。
• 简化安全配置 ：CORB可以在服务器端配置，无需在客户端进行任何配置。
• 兼容性好 ：CORB与主流浏览器兼容，包括Chrome、Firefox、Safari和Edge。

CORB的局限性

CORB也存在一些局限性：

• 可能会破坏跨域请求 ：如果您在服务器端配置了CORB，可能会破坏一些跨域请求。
• 不支持旧浏览器 ：CORB不支持旧浏览器，如IE11。

总结

CORB是一种比CORS更安全的跨域资源共享机制。它可以防止跨域请求携带凭据，从而可以有效防止CSRF攻击。但是，CORB也存在一些局限性，可能会破坏一些跨域请求，并且不支持旧浏览器。