Bennyaa schrieb:
Wenn ein Server diesen Sicherheitsmechanismus nicht macht.... wäre es dann nicht für Hacker möglich diesen Umweg zu nutzen?
Du hast ja schon verstanden dass der Mechanismus im Browser selbst greift.
Das ist kein harter Sicherheitsmechanismus den der Server erzwingen kann, der Server antwortet nur mit "
ABC.de
,
DEF.de
dürfen Ressourcen von mir laden", mehr als ein Vorschlag ist das nicht. Sollte Chrome morgen entscheide CORS nicht mehr zu berücksichtigen steht das Scheunentor offen.
Wenn der Server keinen CORS-Header setzt gilt SOP (wurd hier schon gennant),
same origin policy.
Browser Extensions können diesen Check im Browser deaktivieren, das sorgt einfach dafür das dem Browser egal ist was der Server im CORS-Header vorschlägt.
Da man aktiv CORS im Browser umgehen muss ist das aber kein Sicherheitsproblem, da kann man dem User direkt sagen installier meine .exe
Wenn ein "Hacker" der Banking-Website von
sparkasse.de
Javascript unterschieben kann das alle Daten an
mein-hacker-server.de
sendet würde CORS das standardmäßig wirklich blockieren weil es nicht SOP ist.
Jetzt liegt es beim Hacker dafür zu sorgen das sein Server sagt "
sparkasse.de
darf
mein-hacker-server.de
Daten senden".
Sein Server kann dann "problemlos" die Daten weitersenden weil Server CORS nicht unterliegen. Wenn jemand Code auf nem Server ausführen kann hat er sowieso Kontrolle.
Im Browser braucht es eben entsprechende Mechanismen weil man "fremden Code" ausführt.