开发者不了解 CORS 现状从事全栈咨询工作能让人与不同公司、不同技能水平的开发者合作从而了解大家面临的难题。近期常见问题是太多 Web 开发者不了解跨域资源共享Cross - Origin Resource SharingCORS的工作原理。Zoom 漏洞案例分析鉴于近期 Zoom 出现的漏洞此问题显得尤为及时。安全研究员乔纳森·莱奇舒发现Zoom 在机器上有一个监听 http://localhost:19421 的 Web 服务器加载 Zoom 链接时Zoom 网站会向本地 Web 服务器发送请求以打开原生 Zoom 应用。文章提到该页面从本地运行的 Zoom Web 服务器加载图片以图片尺寸编码返回数据是为了绕过跨域资源共享CORS但实际上 Chrome 会遵守本地 Web 服务器的 CORS 标头。这表明 Zoom 可能急于推出功能却不了解 CORS采用图片技巧绕过 CORS 让 Zoom 面临巨大安全漏洞因为其他网站也能触发原生客户端操作并获取响应。Zoom 功能安全实现方式监听 localhost:19421 的 Web 服务器应实现一个 REST API并设置 Access - Control - Allow - Origin 标头值为 https://zoom.us确保只有在 zoom.us 域名上运行的 JavaScript 才能与本地 Web 服务器通信。此外zoom.us 应设置内容安全策略标头阻止在 iframe 中渲染防止页面在后台自动打开 Zoom 会议。不过仍存在漏洞即任何页面可将浏览器重定向到意想不到的 zoom.us 会议链接但这是 Zoom 在用户体验方面的决策。良好用户体验设计原则是软件具有可预测性而 Zoom 打破了这一预期谷歌会议在这方面做得较好。对绕过 CORS 做法的探讨不能确定 Zoom 采用现有实现方式是否因为不了解 CORS虽有观点认为 Firefox 可能阻止从安全源到非安全源的 XHR 请求但源是本地主机时 Firefox 支持这种请求且原生应用可生成唯一自签名证书或使用浏览器扩展所以这不是忘记过滤源的合理理由。开发者普遍问题及思考不只是 Zoom很多开发者不太了解 CORS 工作原理Stack Overflow 上有大量相关问题相关页面推荐的默认设置可能让应用面临安全风险其他厂商也存在相同安全漏洞。开发者绕过同源策略可能让代码正常运行但会面临问题。有经验和新手开发者都会对 CORS 感到困惑是 CORS API 太复杂还是需要对开发者进行更好的教育目前情况不太乐观。