CORS通过在服务器端设置响应头来进行配置。当浏览器发起跨域请求时,
服务器可以通过设置特定的CORS响应头来告知浏览器是否允许该请求,可以在配置文件中修改Access-Control-Allow-Origin参数
针对这种漏洞,直接修改配置文件中的“zeppelin.sqinerver.allowed.origins”的值
1 修改zeppelin的配置文件
将这个值修改为<value>Null</value>或者改成<value>http://ip:port</value>
注:ip:port? ?ip为服务所在ip 以及 port?所使用服务端口
2 重启服务
验证登录成功
3 重新扫描,扫不到此漏洞
亲测,有效