반응형
Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- 악성코드
- 모의해킹
- cve-2024-2242
- LPE
- 1-day analysis
- Burp Suite
- kioptrix
- cve-2024-27956
- cve-2024-4439
- Command Injection
- cve-2024-27954
- cve-2024-5084
- 악성코드 분석
- Stored XSS
- 리버스 쉘
- cve-2024-10924
- XSS
- SQL Injection
- broken access control
- plugin
- wp-automatic plugin
- MALWARE
- wp-automatic
- wordpress
- really simple security plugin
- rce
- nmap
- authentication bypass
- DLL Injection
- pentesting
Archives
- Today
- Total
Psalm
CORS preflight 본문
반응형
dreamhack.io에서 theori.io로 POST 요청을 보낸다.
서로 다른 origin이기 때문에 OPTIONS 메소드로 서버에 요청을 보내도 될지 확인한다.(CORS preflight)
Sec-Fetch-Mode: Cors
Sec-Fetch-Site: cross site
서로 다른 사이트임을 알려주고, Cors 요청임을 알려준다.
Request header를 보면 Connection 필드가 없는데, HTTP/2에서는 따로 명시하지 않는다.
다중화(Multiplexing):
하나의 연결에서 여러 요청과 응답 처리 가능. HTTP/2에서는 모든 연결이 기본적으로 지속적이어서 이 헤더는 굳이 명시하지 않는다.
CORS preflight 요청을 보내면 서버에서 이와 같은 응답이 온다.
이처럼 우리가 만약 외부 리소스를 요청하면 브라우저에서 CORS preflight 요청을 먼저 보내고, 서버로부터 요청이오면 브라우저에서 이를 확인하고, 사용자의 실제 리소스를 요청한다.
반응형
'보안공부 > 웹 해킹' 카테고리의 다른 글
| OWASP juice shop(Broken Access Control) (0) | 2024.09.21 |
|---|---|
| Stored XSS (0) | 2024.06.25 |
| xss filtering bypass - 활성 하이퍼링크 (0) | 2024.06.06 |
| xss-filtering-bypass 실습 (0) | 2024.06.05 |
| fileupload 취약점 (0) | 2024.05.25 |
'보안공부/웹 해킹' Related Articles
more
Comments