SpringBoot解决跨域访问的问题
本文介绍了跨域访问的概念及其解决方案。同源策略规定浏览器限制不符合协议、Host和端口的请求,导致跨域访问被禁止。为解决此问题,文中提出了三种策略:1) 前端利用HTML标签的特性(如script、iframe)和JSONP、postMessage规避同源策略;2) 通过代理,如nginx或nodejs中间件,使得所有请求看似来自同一源;3) CORS(跨域资源共享),通过设置HTTP响应头允许特定跨域请求。在SpringBoot中,实现CORS有四种方式,包括使用CorsFilter、重写WebMvcConfigurer、CrossOrigin注解以及直接设置响应头。
xiaodisec day032
`#day32` 讲解了文件上传漏洞,重点在绕过过滤策略,如使用`.user.ini`避开点号过滤。讨论了利用解析漏洞,将数字IP转换为字符串。网站的图片裁剪功能被利用来隐藏后门,因JPEG与PNG处理差异,形成二次渲染。手动插入木马困难,推荐脚本自动化。在线靶场演示不稳定,但CTF目标是理解概念而非单纯解题。`.htaccess`涉及Apache解析配置,不适用于Nginx。结合包含漏洞,中间件解析漏洞是关键。若过滤严格,可通过变量赋值拼接木马实现免杀。