谈CSRF与JSONP设置header问题

最新推荐文章于 2022-05-14 17:49:41 发布
最新推荐文章于 2022-05-14 17:49:41 发布
阅读量937 收藏
点赞数
文章标签: 前端 后端 ViewUI
原文链接:http://www.cnblogs.com/huim/p/11005903.html
版权
关于前端发起请求
问题一 JS发起请求的方式

方法一
JS代码中发起请求的方式普遍为AJAX

该技术在 1998 年前后得到了应用。允许客户端脚本发送HTTP请求(XMLHTTP)

方法二
script标签请求

方法三
通过HTML的方法
通过js自动在jsp中创建一个form表单,并给其method属性为post

function post(URL, PARAMS) {        
    var temp = document.createElement("form");        
    temp.action = URL;        
    temp.method = "post";        
    temp.style.display = "none";        
    for (var x in PARAMS) {        
        var opt = document.createElement("textarea");        
        opt.name = x;        
        opt.value = PARAMS[x];               
        temp.appendChild(opt);        
    }        
    document.body.appendChild(temp);        
    temp.submit();        
    return temp;        
}        

$(".submit_d a").click(function(){
    var data = ($(this).attr("class")).split("-");
    var series = data[0];
    var discharge = data[1];
    var carriageNum = data[2];
    var seatNum = data[3];
    var gear = data[4];
    var cost = data[5];
    var pictureUrl = data[6];
    var id = data[7];
    post(ctx+"/order/rentcar.action",{"series":series,"discharge":discharge,"carriageNum":carriageNum,"seatNum":seatNum,"gear":gear,"cost":cost,"pictureUrl":pictureUrl,"id":id});
});
问题二 设置header、cookie

CSRF发起的请求可以设置cookie(token)、header么

CSRF或者jsonp,利用时需要跨域。

跨域首先排除掉AJAX方法

AJAX如何跨域

  1. CORS
    简单来说,请求时浏览器检测到跨域,会带上Origin,得到服务器的准许后才能够获取数据。
    CORS不仅设置了AJAX跨域时的域名,还有请求方法、返回Header获取字段、允许发送cookie等
    浏览器同源政策及其规避方法(阮一峰)
    CORS需要大多数情况下,前端是无感知的,这是后端服务器做的部分。
  2. JSONP
    JSONP能够跨域的原因在于
  3. 代理
    本地设置代理,ajax请求本地代理,再由本地通过非ajax方法去请求数据,返回给前端。不考虑。但是在某些情况下可以用,比如payload中需要拼接由跨域获取的数据。

这三种方法都是JS/AJAX跨域的方法。
在CSRF/JSONP劫持的运用上,CORS跨域被限制的情况下不存在了,因此AJAX的GET/POST一堆灵活操作没法用。
JSONP也无法设置header、cookie等。

FORM表单请求的方式当然也没法设置header。
结论 CSRF/JSONP劫持中所用请求难以自定义header、cookie
posted @ 2019-06-11 20:41  huim 阅读( ...) 评论( ...) 编辑 收藏

转载于:https://www.cnblogs.com/huim/p/11005903.html

Js_123456789
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2188
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
【JS】JS获取cookie里的csrftoken并添加header
10相濡以沫
08-18 3731
Django需要csrftoken来进行CSRF的防御 既然是前后端都自己写,肯定不能整@csrf_exempt这样的办法 JS用正则表达式获取cookie var regex = /.*csrftoken=([^;.]*).*$/ ; var xCSRFToken = document.cookie.match(regex) === null ? null : document.cookie.match(regex)[1] cookie的样式 Cookie: sessionid=tc3prqefkjt7
跨域请求的处理-jsonp、cors
mantou_riji的博客
05-14 750
文章目录同源策略跨域跨域的解决jsonpjsonp定义jsonp工作方式jsonp的使用jsonp实现跨域请求实例jQuery发送jsonp请求CORS解决跨域请求CORS是什么?CORS怎么工作的?使用cors实现ajax的跨域请求补充:所有响应头种类见这里 同源策略 同源策略是浏览器的一种安全策略。 同源策略:即 网页的url 和 该网页请求的url 的协议、域名、端口必须保持一致。 协议、域名、端口必须保持一致就是说网页的加载服务器和页面请求的请求服务器是同一个服务器的同一个服务。 ajax默认支持同
跨域请求(jsonp,请求头)
spfLinux的博客
12-13 4993
1、简单方式1(jq) Document $.ajax({ type:"get", url:"http://127.0.0.1/weather3.php", dataType:"jsonp" }).then(data=>{ document.write(data); }) <?php @$fun=$_REQUEST["
header添加自定义属性防止CSRF
lc20008的博客
09-24 8615
header添加自定义属性防止CSRF 一、 概述 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请
CSRF攻击、防止CSRF攻击原理及配置
m0_59860403的博客
04-23 1032
CSRF攻击 当用户在浏览器访问服务器,服务器给用户返回一个表单时,用户的ticket身份凭证会存放在cookie当中,如果用户在提交表单前去浏览病毒网站,病毒网站会窃取cookie信息,获得凭证,此时表单提交的目标也是已知,所以病毒网站会通过post请求模拟用户发送请求,这样用户的财产安全就会受到侵犯。 Security底层防止CSRF攻击方式 当服务器想用户返回一个表单页面的时候,会顺便发送一个隐藏域,存储着tocken,是随机生成的,每次都是不同的,当CSRF攻击时候,虽然ticket凭证信
详解WEB攻击之CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
从开发角度浅CSRF攻击及防御
02-25
CSRF可以叫做(跨站请求伪造),咱们可以这样子理解CSRF,攻击者可以利用你的身份你的名义去发送(请求)一段恶意的请求,从而导致可以利用你的账号(名义)去--购买商品、发邮件,恶意的去消耗账户资源,导致的一些列恶意...
CSRF的攻击与防御
02-26
这时,该转帐请求的Referer值就会是转账按钮所在的页面的URL,通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行
Jsonp请求无法设置请求头信息
weixin_40293364的博客
08-21 2566
使用jsonp请求添加自定义请求头。获取接口返回结果失败 --------跨域安全限制只针对web端,服务器端不存在限制 chrome: jsonp 请求返回error:aborded jquery.min.js:4 GET http://61.152.230.10:7109/configService?callback=jQuery111105210777633725245_157665...
ajax请求携带cookie和自定义请求头header(跨域和同域)
menghuanzhiming的博客
10-29 5万+
ajax请求携带cookie、自定义header总结: 错误: 1.ajax请求时是不会自动带上cookie的,要是想让他带上的话,必须设置withCredential为true。 正确: 1.ajax同域请求下,ajax会自动带上同源的cookie; 2.ajax同域请求下,ajax添加自定义请求头(或原装)header前端、后台不需要增加任何配置, 并且不会因为增加自定义请求头header...
Origin字段 Header 为了防止CSRF的攻击
xiejin2008的专栏
07-08 5665
为了防止CSRF的攻击,我们建议修改浏览器在发送POST请求的时候加上一个Origin字段,这个Origin字段主要是用来标识出最初请求是从哪里发起的。如果浏览器不能确定源在哪里,那么在发送的请求里面Origin字段的值就为空。隐私方面:这种Origin字段的方式比Referer更人性化,因为它尊重了用户的隐私。1、Origin字段里只包含是谁发起的请求,并没有其他信息 (通常情况下是方案,主...
java url headers_Java 携带header 请求Url并带Json参数
weixin_28998761的博客
02-13 1934
1首先把json参数设置好JSONObject json1=new JSONObject();json1.put("Bandwidth","");json1.put("circuitType","");json1.put("portid","");json1.put("circuitno","");json1.put("id","");2设置header请求头和url以及参数public stat...
jquery中ajax跨域设置http header
热门推荐
只有不断总结的人才能不断进步
04-18 6万+
本文从以下几种情况讨论ajax请求: 没有跨域,设置http header头部(例如authorization); 跨域,没有设置http header头部; 跨域,设置http header头部; 题外,php发送http请求,并设置http header头部; Jsonp个人理解,参考 一.ajax请求,没有跨域,设置http header头部 $.aja
跨域:ajax,jsonp,设置消息头
Q_TONG的专栏
04-03 3535
方法一:在服务器端加消息头 res.setHeader("Access-Control-Allow-Origin","*");允许所有的跨域 Response.AddHeader("Access-Control-Allow-Origin", "http://www.bsidu.com:801"); 只有来自 http://www.bsdu.com:801 源下的脚本才可以进行访问。 请求端不
设置header,实现跨域访问
zyb2010yaonuli的博客
02-27 7237
受浏览器的同源策略限制,JavaSript只能请求本域内的资源。跨域资源共享(Cross-Origin Resource Sharing, CORS)是为解决Ajax技术难实现跨域问题而提出的一个规范,这个规范试着从根本上解决安全的跨域资源共享问题。在此之前,解决此类问题的途径往往是服务器代理、JSONP等,治标不治本。目前基本所有浏览器都已经支持该规范。 一个域是由schema、host、...
跨域请求自定义headers头信息
指尖的艺术
06-17 2076
DocumentRoot “D:\phpStudy\PHPTutorial\WWW\emscrm_local\public” Options +Indexes +FollowSymLinks +ExecCGI AllowOverride All Order allow,deny Allow from all Require all granted Header set Access-Contro...
csrfjsonp利用
最新发布
07-27
- *1* *2* [浅CSRF跨域读取型漏洞之JSONP劫持](https://blog.csdn.net/qq_63701832/article/details/129372608)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值