спасибо огромное за такое подробное и высококлассное объяснение! наконец-то стало все понятно!! просто сама рисовала эти схемы и на каких-то моментах всегда сбивалась.. а тут все очень последовательно и подробно! еще раз огромное спасибо!!! у меня вопрос: если на сайте зломышленника со сути выполняется скрипт, воспроизводящий запрос к сайту банка, то чем этот механиз атаки отличается от механизма атаки XSS??
@@vbashun а если для запросов использовать хедеры не из whitelist-а, тогде браузер же отправит OPTIONS запрос перед POST-ом? Тогда и CORS подловит, не?
пользователь ничего сам отправлять не будет. Браузер пользователя все сделает за него, потому что на hack.html лежит автоматический скрипт, который запустится при загрузке страницы.
@@nikitasinsobaki да именно скрипт на js. Который сам за тебя нажимает кнопку по отправке формы. И да это стрёмно, но от этого есть защита и она должна быть встроена на сервере.
Спасибо за объяснения. Но не очень понятно, почему после второго запроса (от пользователя к hack.html) произойдет третий запрос (от пользователя к банку) с данными от hack.html. Спасибо
потому что пользователь заходит на этот сайт, после чего код, размещенный на сайте злоумышленника выполняется в браузере пользователя и от пользователя посылается соответствующий запрос к банку
@@slavanslavan9330 но этоже всё-таки кросдоменный запрос. Браузер наверное сделать должен pre-fly запрос и посмотреть заголовки ответа на OPTIONS-запрос, и уже на основании этого делать или не делать запрос POST в соответствии с политикой CORS. Или я чет не понимаю?
![Kehlani - Next 2 U [Official Music Video]](http://i.ytimg.com/vi/MpI7ekFG8A0/mqdefault.jpg)
Уже только за одни художественные навыки преподавателя можно лайк поставить 😁
Спасибо, очень наглядное объяснение.
Ништяк
спасибо огромное за такое подробное и высококлассное объяснение! наконец-то стало все понятно!!
просто сама рисовала эти схемы и на каких-то моментах всегда сбивалась.. а тут все очень последовательно и подробно!
еще раз огромное спасибо!!!
у меня вопрос:
если на сайте зломышленника со сути выполняется скрипт, воспроизводящий запрос к сайту банка, то чем этот механиз атаки отличается от механизма атаки XSS??
аа, script только сабмитит ссылку..
все, поняла)
извините)
Спасибо за видео. А разве CORS не спасает от этого?
не от всего. от некоторых видов запросов спасает
@@vbashun а если для запросов использовать хедеры не из whitelist-а, тогде браузер же отправит OPTIONS запрос перед POST-ом? Тогда и CORS подловит, не?
Я вот что не понял как злоумышленник сделает так что-бы именно пользователь отправил этот запрос в банк?
пользователь ничего сам отправлять не будет. Браузер пользователя все сделает за него, потому что на hack.html лежит автоматический скрипт, который запустится при загрузке страницы.
@@hodakoov Скрипт на JS? Вообще я имел ввиду разве можно заставить браузер отправлять запросы на левый сервер просто до этого я думал что так нельзя
@@nikitasinsobaki да именно скрипт на js. Который сам за тебя нажимает кнопку по отправке формы. И да это стрёмно, но от этого есть защита и она должна быть встроена на сервере.
@@hodakoov это CORS
@@user-hq6nm2tf6j корс это про другое. Сам javascript запрос не делает, он лишь сабмитит форму. После чего запрос выполняется на стороне браузера
Спасибо за объяснения.
Но не очень понятно, почему после второго запроса (от пользователя к hack.html) произойдет третий запрос (от пользователя к банку) с данными от hack.html.
Спасибо
потому что пользователь заходит на этот сайт, после чего код, размещенный на сайте злоумышленника выполняется в браузере пользователя и от пользователя посылается соответствующий запрос к банку
@@slavanslavan9330 но этоже всё-таки кросдоменный запрос. Браузер наверное сделать должен pre-fly запрос и посмотреть заголовки ответа на OPTIONS-запрос, и уже на основании этого делать или не делать запрос POST в соответствии с политикой CORS. Или я чет не понимаю?