​​​​一文彻底搞懂 跨域 同源策略 csrf攻击原理

最新推荐文章于 2024-07-28 21:35:23 发布
最新推荐文章于 2024-07-28 21:35:23 发布
阅读量2k 收藏 2
点赞数 1
文章标签: csrf servlet java web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lifan_zuishuai/article/details/125475335
版权
本文详细解释了同源策略的概念,为何需要它,以及在开发中遇到跨域问题的解决方法,包括利用nginx代理、后端@CrossOrigin注解、过滤器和WebMvcConfigurer接口。还介绍了CSRF攻击及其预防措施,通过对比演示了如何通过token验证防止跨站伪造请求。
摘要由CSDN通过智能技术生成

 什么是同源策略 跨域

协议 url  端口 任一不同则不同源

例如 http://www.baidu.com  与https://www.baidu.com  http://www.baidu.com:8080 http://www.taobao.com不同源

同源策略是浏览器的限制 如在www.baidu.com的网页下  去访问www.taobao.com 这样则形成了跨域   那么浏览器则会限制响应数据(注意 这里是指限制访问响应的数据 而不是限制访问),也就是拿不到响应的数据

同时 浏览器还限制了不是一个域 不能访问其它域下的cookies的内部数据

例如下图  csdn.net域下的页面脚本文件无法拿到baidu..com下的cookies信息 

为什么要有同源策略呢

试想一下 如果浏览器没有同源策略 你访问一个支付网站(暂认为是支付宝)完成了你的转账,这时候你又访问了一个钓鱼网站  这个时候钓鱼网站页面向支付宝网站请求了一个获取你敏感信息的接口  这个时候你的数据就会外泄

如果在开发中需要跨域那么怎么解决呢

方案一:利用nginx将前端页面与后端服务都通过80端口反向代理访问

方案二:后端进行跨域配置   

1.使用@CrossOrigin注解标注的接口都可以跨域请求

@GetMapping("/list")
@CrossOrigin
public List<String> list(){
    List<String> list = Arrays.asList("Java");
    return list;
}

2.使用过滤器

@Configuration
public class CorsConfig {
    
    @Bean
    public CorsFilter corsFilter(){
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        //配置可以跨域的访问源地址
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsFilter(source);
    }
    
}

3 实现 WebMvcConfigurer 接口,重写 addCorsMappings 方法

@Configuration
public class CorsConfiguration implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOriginPatterns("*")//允许哪些域访问
                .allowedMethods("GET","POST","PUT","DELETE","HEAD","OPTIONS")//允许哪些方法访问
                .allowCredentials(true)//是否允许携带cookie
                .maxAge(3600)//设置浏览器询问的有效期
                .allowedHeaders("*");//
    }
}

那么 上述解决方案是怎么解决跨域的呢

其实就是服务器在响应客户端的时候会在响应头加上一行

Access-Control-Allow-Origin: http://www.acceptmeplease.com

这样 如果当前网站的源与响应头中的源相同 那么浏览器则则可以操作响应的数据啦 就不会造成跨域了

另外 如果是get之外的请求跨域了  那么浏览器还会先发送一个请求询问服务器 你这个接口支持跨域吗  这个时候服务器告诉它  支持 这个时候才能发起实际的请求

参考资料如下

csrf攻击(跨站伪造请求攻击)

什么是csrf攻击呢,还是拿上面的例子举例

你访问一个支付网站(暂认为是支付宝)完成了你的转账,这时候你又访问了一个钓鱼网站  这个时候钓鱼网站页面向支付宝网站请求了一个转账接口转账给钓鱼网站的账户  这个时候浏览器会默认带上支付宝的cookies  假设支付宝没有防止csrf攻击  这个时候便转账成功了

那么如何防止csrf攻击呢   

方案一:每次请求都需要验证码,csrf攻击只是伪造请求 它并不能识别需要填的验证码 所以如果每一次请求都需要填验证码 csrf攻击自然无效了  但是  这种方案肯定会极大的影响用户体验

方案二:还记得上文提到的不同源无法对cookie里面的数据进行操作访问吗,也就是说不同源拿不到你cookie里面的信息  那么 为了防止csrf攻击  我们可以让前端把cookie中写入的token放到请求头中 每次请求都带过来  然后服务端再对请求头里面的token进行校验 因为不同源 钓鱼网站拿不到支付宝的cookie里的信息 那么钓鱼网站自然不能在请求头上加token    这样也很完美的解决了csrf攻击!

参考资料:同源策略和CSRF - 浅笑· - 博客园

在下潘安
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【白嫖党】如何把前端学好?看完这篇,直呼:太强了!(历经半个月之作)
超逸の学习技术博客
04-04 2万+
很少有文章做到将知识形成一个体系,于是需要翻阅很多资料,但这篇文章做到了!共34815字数。
一文深度剖析Axios源码
React_Community的博客
12-11 284
本文概要前言Axios整体代码结构分析Axios执行流程整体分析Axios执行文件分析前言axios 是目前最常用的 http 请求库,可以用于浏览器和 node.js , 在 gith...
csrfcookie和session、同源策略
2301_80361487的博客
01-26 384
大家都遵从了这个约定俗成的结果,把这两个域名都映射到同一个服务器。于是乎,不管你输入哪一个格式的网址,都是在访问同。的浏览器都会使用这个策略。同源策略的目的为了保证用户信息的安全,防止恶意的网站窃取数据。同源策略浏览器最核心也是最基本的安全功能,现在所有支持。目前,所有浏览器都实行这个策略。在相当一段时间里,哪怕是现在,很多人仍然把带。所谓“同源”指的是“三个相同”。同源策略是非常重要的。人都将无障碍的获取私密信息,例如各个网。,这里要划重点了,这是个不带。最初,它的含义是指,告联盟、流量统计商、
浅析/XSS/CSRF/同源策略
weixin_43905830的博客
11-20 627
3、浏览器安全 3.1、同源策略 什么是同源? 如果两个url的协议、域名、端口相同,就称这两个url是同源 比如http://store.company.com:80/index.html和 http://store.company.com:80/dir/index.html是同源,而 https://store.company.com:80/index.html和 http://store.company.com:80/index.html不同源,因为协议不同。 同源策略主要表现在DOM、Web数据
CSRF(跨站请求伪造)漏洞介绍
最新发布
weixin_56233402的博客
07-28 846
Cross-site request forgery 简称为“CSRF”,在CSRF攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。
CSRF初探、跨站请求伪造(同源策略Cookie作用域、DVWA实验)详解
小赵同学的博客
11-26 1313
CSRF初探、跨站请求伪造(同源策略Cookie作用域、DVWA实验)详解一、CSRF初探(同源策略)二、CSRF初探(Cookie作用域)三、CSRF跨站请求伪造(详解)四、CSRF跨站请求伪造(DVWA实验)DVWA实验(Low)DVWA实验(medium) 一、CSRF初探(同源策略) 1、什么是CSRF? 跨站请求伪造,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作
聊聊跨域原理与解决方法
顺仔的小窝
06-20 1430
背景 在最近的项目中,遇到这样一个场景:合作方开发H5页面并部署在合作方的服务器上,但页面中嵌入了我方的SDK,SDK会直接调用我方的接口,如下图: 但是控制台中却会收到如下报错: Access to XMLHttpRequest at 'http://example1.com/test' from origin 'http://example2.com' has been blocked by CORS policy: Response to preflight request doesn't pass
安全同源策略CSRF 和 CORS
lpq1201的博客
03-21 372
同源策略 SOP 同源策略(Same-origin policy,简称 SOP) 跨站请求伪造(Cross-site request forgery,简称 CSRF跨域资源共享(Cross-Origin Resource Sharing,简称 CORS) 先解释何为同源:协议、域名、端口都一样,就是同源。 你之所以会遇到 跨域问题,正是因为 SOP 的各种限制。但是具体来说限制了什么呢? 如果你说 SOP 就是“限制非同源资源的获取”,这不对,最简单的例子是引用图片、css、js 文件等资源的时候就允
CSRF 跨域
ywn0601的博客
01-12 542
了解CSRF跨域
一文读懂】 Http之Cookie Session和Token
zyq8514700的博客
10-21 310
来源引用链接{本文仅用于笔记} 【WHY】Http是一个无状态协议 什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。这种无状态的的好处是快速。坏处是假如我们想要把www.zhihu.com/login.html和www.zhihu.com/index.html关联起来,必须使用某些手段和工具。 现在我们来想一个复杂的场景,如在购物网站上买...
前端面试问题(适用于面试回答思路)
yaminne的博客
03-28 4931
原型和原型链 原型:构造函数的 prototype 属性指向了一个对象,这个对象正是调用该构造函数而创建的实例的原型。也即,每个构造函数的实例都有一个原型,叫原型对象,由实例对象的内置属性_proto_指向。每个原型都有一个 constructor 属性指向关联的构造函数。 原型用法:构造函数创建的实例可以访问实例的属性和方法,也可以访问原型的属性和方法。对于原型只能访问自己的属性和方法。考虑这一特性,如果对象公有的属性和方法,我们可以添加到原型上面,对象需要的时候直接访问原型的属性和方法就可以。 当读取实
2020年前端面试复习必读精选文章,必看!!
webqianduan1的博客
07-06 2909
建议收藏文章,结合复习导图食用,效果更佳。 1. JavaScript 基础 1.1 执行上下文/作用域链/闭包 理解 JavaScript 中的执行上下文和执行栈 JavaScript深入之执行上下文栈 一道js面试题引发的思考 JavaScript深入之词法作用域和动态作用域 JavaScript深入之作用域链 发现 JavaScript 中闭包的强大威力 JavaScript闭包的底层运行机制 我从来不理解JavaScript闭包,直到有人这样向我解释它... ..
csrf 同源策略 xmlhttprequest跨域 xml
blrk
12-12 1895
同源策略: http://drops.wooyun.org/tips/151 xmlhttprequest: http://drops.wooyun.org/tips/188
浅谈CSRF跨域攻击
DevOps
05-15 1669
CSRF(Cross Site Request Forgery) 跨站请求伪造。在用户不知情的情况下以用户的名义向有CSRF漏洞的网站发起攻击,有很大的危害性。 预防:在header中添加一个随机token,和cookie中的csrftoken进行比较,如果不相同,则表示该请求是CSRF攻击原理:网站可以伪造header中的东西,但不能读cookie中的数据,而token是个随机数,所以伪...
CSRF跨域攻击原理浅谈
DavidFFFFFF的博客
07-18 884
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 看了好多文章对csrf原理的解释,一直不明白不明白一个B网站的img标签的请求是如何挟持到A网站的cookies进行模拟跨域请求的。 直到看到一位大佬写的一篇文章,我才大体猜到了其中的原理。 不多废话,直接上核心原理CSRF攻击是源于WEB的隐式身份验证机制!WEB的身份验证机制虽然可以保证一个请求是来自于某.
cors跨域_全面刨析cors跨域攻击原理
weixin_39746241的博客
11-28 879
htf的cors跨域之旅 htf一直在维护一个网站,b.com。b.com中存在接口get_userinfo.php可以获取到用户的敏感信息'flag',代码如下。//http://b.com/get_userinfo.php ...
同源政策/跨域跨域解决策略/web安全攻击CSRF以及XSS
darabiuz的博客
02-11 3199
1.同源策略 1. 什么是同源 同源策略浏览器安全的基石,当前网页的url和ajax请求地址的url必须同源,它要求协议、域名、端口号三者必须相同,只要有一处不同就属于跨域 2. 为什么要有同源策略 想象这样一个场景,你登录并信任了一个购物网站A,然后在没有退出的情况下登陆了恶意网站B,由于浏览器携带了cookie信息,那么B就可以冒充用户向A网站发送请求,比如购买物品之类的违背用户预期的恶意行为,带来严重影响,这其实也就是平时所说的CSRF攻击(具体见下文对于CSRF的介绍),由来同源策略以后,主要限制
前端安全同源策略CSRF 和 CORS
STRIVE_LC的博客
10-29 543
本文主要涉及三个关键词: 同源策略(Same-origin policy,简称 SOP) 跨站请求伪造(Cross-site request forgery,简称 CSRF跨域资源共享(Cross-Origin Resource Sharing,简称 CORS) 同源策略 SOP 同源 先解释何为同源:协议、域名、端口都一样,就是同源。 下表给出了与 URLhttp://store.company.com/dir/page.html的源进行对比的示例: UR...
ssrf redis getshell 写私钥_csrf和ssrf总结
weixin_39850697的博客
11-22 457
1.csrf跨站请求伪造CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。在没有关闭相关网页的情况下,点击其他人发来的CSRF链接,利用客户端的cookie直接向服务器发送请求。原理攻击者通过盗用用户身份悄悄发送一个请求,或执...
理解浏览器同源策略原理、IE特性和跨域通信
同源策略(Same-origin Policy, SOP)是Web浏览器内置的一组规则,旨在防止跨域资源共享(Cross-Origin Resource Sharing, CORS)时的潜在安全风险。源的概念源自于网络地址,它由协议(如http或https)、主机名(如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值