Politique CORS appliquée sur certains réseaux


1

J'ai remarqué un problème lorsque j'utilisais mon ordinateur de travail pour accéder à certains sites Web, principalement ceux avec des cartes intégrées telles que Open Street Maps ou Bing (ne semble pas affecter Google Maps). Mes collègues remarquent la même chose. Souvent, ces cartes ne chargent pas du tout le fond de carte (mais elles chargent les données superposées du site Web dans lequel elles sont intégrées) ou affichent des mosaïques roses. J'ai remarqué que les demandes échouaient avec le message suivant:

La stratégie CORS a bloqué ' http://a.tile.openstreetmap.org ': aucun en-tête 'Accès-Contrôle-Autoriser-Origine' n'est présent sur la ressource demandée. L'origine ' http://mncors2.dot.state.mn.us ' n'est donc pas autorisée.

Dans Chrome, l’extension Allow-Control-Allow-Origin: * corrige le problème, de même que l’utilisation de HTTPS si le site Web l’a activé.

Le problème survient dans les dernières versions de Chrome, Firefox et Edge. Le problème ne se produit pas dans Internet Explorer.

De plus, cela ne se produit que lorsque vous utilisez le réseau de travail. Lorsque je l'essaie sur mon téléphone via le réseau Wi-Fi professionnel, le problème se pose: avec le réseau WIFI désactivé, les cartes se chargent très bien.

  • Est-ce quelque chose que notre pare-feu de travail pourrait causer?

  • Si oui, que devrais-je dire à notre personnel informatique pour résoudre ce problème?

  • Peut-il être corrigé sans affecter la sécurité?

Nous utilisons beaucoup de sites de cartographie ici, certains que nous payons, ce qui constitue un sérieux problème de productivité pour certains.

Réponses:


3

Est-ce quelque chose que notre pare-feu de travail pourrait causer?

Oui, cela ne laisse pas passer tous les en-têtes HTTP. Il a probablement une liste blanche d’en-têtes autorisés et sa configuration est très dépassée. La SCRO est relativement nouvelle.

Si oui, que devrais-je dire à notre personnel informatique pour résoudre ce problème? Peut-il être corrigé sans affecter la sécurité?

Ils doivent mettre à jour leur configuration de proxy (ou plus précisément: la liste des en-têtes HTTP autorisés). Ou supprimez simplement ces limitations ridicules. Cela n'affecte de toute façon pas la sécurité.


Merci Daniel B! Nos informaticiens ont ajouté l'en-tête à la liste blanche, ce qui a résolu le problème. Si possible, pouvez-vous expliquer pourquoi ce n’est pas un problème de sécurité ou me diriger vers une référence? Tout ce que je peux trouver, ce sont des choses côté serveur, aucune mention de cela étant filtré côté client.
PhilippNagel

Il est tout simplement impossible de déclencher un comportement malveillant via les en-têtes HTTP. Le pire qu’il puisse faire est soit de créer un proxy / pare-feu de mauvaise qualité en utilisant de grandes valeurs (l’en-tête du cookie est un favori à cet égard) ou de déclencher des exploits. Mais vous ne pouvez pas vraiment empêcher ce dernier de toute façon, la réduction de la surface d’attaque est si faible qu’il n’en vaut pas la peine. Imaginez combien d’argent l’entreprise a perdu sur cette seule question.
Daniel B
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.