cors能防御csrf吗?

最新推荐文章于 2024-09-05 17:12:12 发布
最新推荐文章于 2024-09-05 17:12:12 发布
阅读量94 收藏
点赞数
文章标签: csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/love_wzh/article/details/131403762
版权
CORS是一种跨域资源共享机制,用于允许浏览器在不同源之间安全地进行资源请求。CSRF是一种攻击方式,利用用户已登录的身份执行非意愿操作。防御CSRF通常包括检查Referer字段和使用校验Token。文章详细介绍了CORS的工作流程和CSRF的防范措施。
摘要由CSDN通过智能技术生成

cors能防御csrf吗?

跨域请求

跨域即cross-domain,它和同源相对,要求两个URL协议、端口号和域名都一致才能同源。

cors概念

cors是一个W3C(万维网联盟)模型,全称是Crossing-origin resource sharing(跨域资源共享),是一种允许当前域的资源(比如html/js/web_service)被其他域的脚本请求访问的机制。跨域请求分为以下两种。
一、 简单请求
二、 复杂请求
一个简单请求大致满足以下条件。
一、HTTP方法是下列之一
1、HEAD
2、GET
3、POST
二、HTTP头包含
1、Accept
2、Accept-Language
3、Content-Language
4、Last-Event-ID
5、Content-Type但只能是下列之一
1⃣️application/x-www-form-urlencoded
2⃣️multipart/form-data
3⃣️text/plain
任何一个不满足上述要求的请求,即被认为是复杂请求。

一次CORS跨域的完整流程

在这里插入图片描述
一、左
http 请求被发起之后,浏览器会根据是否是跨域请求(判断标准就是同源策略三要素:协 议、域名、端口),决定是否在http请求的头部添加“Origin”字段,并将发起请求的域名附加在该 字段的后面。
服务器接收到客户端的http请求后,会先尝试读取“Origin”字段,如果不存在,说明该请求不是跨域请求,直接将该请求放行,把结果返回给客户端;
如果头部存在“Origin”字段,说明该请求来自和当前服务器不同源的一个客户端,是一个跨域请求,这时先判断“Origin”字段后的域名和请求方式(request method)是否合法,如果不合法,就直接返回403错误码,如果合法,再根据上面说的原则判断该请求是简单请求还是复杂请求,如果是简单请求,就进入简单请求流程,如果是复杂请求,进入复杂请求流程。
二、中
服务端根据自己设置的CORS跨域规则,配置相应的Access-Control-Allow-Origin和Access-Control-Allow-Methods等响应头信息。
当收到客户端的请求后,服务端将验证客户端请求头中的信息是否符合设置的CORS规则,如果符合,则将请求的资源连同跨域响应头返回给客户端。客户端(浏览器)收到Response Headers后,会验证这些响应头信息,判断是否通过了跨域请求,如果通过,则返回状态码200,并成功获取到跨域资源。
如果不符合设置的CORS规则,这时则不会将配置的跨域响应头返回给客户端。客户端收到Response Headers后,验证跨域响应头信息,没有发现相应的跨域响应头,说明跨域请求不通过,将不会返回资源。返回403错误码。
三、右
一个复杂请求不仅包含通信内容的请求,同时也包含预请求(preflight request)。
浏览器发现是复杂请求的时候,并不会直接发起原请求,而是先发送Preflight requests,这是一个OPTION请求,用于询问服务器是否允许当前域名下的页面发起跨域请求。
OPTIONS请求头部中一般会包含以下头部:Origin、Access-Control-Request-Method、Access-Control-Request-Headers。
服务器收到OPTIONS请求后,设置Access-Control- Allow-Origin、Access-Control-Allow-Method、Access-Control-Allow-Headers头部与浏览器沟通来判断是否允许这个请求。如果Preflight requests验证通过,浏览器才会发送真正的跨域请求。如果Preflight requests验证失败,浏览器则不会发送真正的跨域请求。

跨站请求

跨站即cross-site,它和同站相对,对协议和端口号无要求,只要两个URL的eTLD+1(有效顶级域名二级域名)一致,就能称为同站。

CSRF

跨站请求伪造(Cross-site request forgery),也称为one-click attack或者session riding, 是一种挟制用户在当前已登陆的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这里用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
防御措施:
	检查Referer字段,HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址。在处理敏感数据请求时,通常来说,Referer字段应和请求的地址位于同一域名下。
	添加校验token,由于CSRF的本质在于攻击者欺骗油壶去访问自己设置的地址,所以如果要求在访问敏感数据请求时,要求用户浏览器提供不保存在cookie中,并且攻击者无法伪造的数据作为校验,那么攻击者就无法再运行CSRF攻击。这种数据通常是窗体中的一个数据项。服务器将其生成并附加在窗体中,其内容是一个伪随机数。当客户端通过窗体提交请求时,这个伪随机数也一并提交上去以供校验。正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从事先得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。

CSRF场景模拟

在这里插入图片描述

跨源

撤销:Ctrl/Command + Z
重做:Ctrl/Command + Y
加粗:Ctrl/Command + B
斜体:Ctrl/Command + I
标题:Ctrl/Command + Shift + H
无序列表:Ctrl/Command + Shift + U
有序列表:Ctrl/Command + Shift + O
检查列表:Ctrl/Command + Shift + C
插入代码:Ctrl/Command + Shift + K
插入链接:Ctrl/Command + Shift + L
插入图片:Ctrl/Command + Shift + G
查找:Ctrl/Command + F
替换:Ctrl/Command + G

合理的创建标题,有助于目录的生成

直接输入1次#,并按下space后,将生成1级标题。
输入2次#,并按下space后,将生成2级标题。
以此类推,我们支持6级标题。有助于使用TOC语法后生成一个完美的目录。

如何改变文本的样式

强调文本 强调文本

加粗文本 加粗文本

标记文本

删除文本

引用文本

H2O is是液体。

210 运算结果是 1024.

插入链接与图片

链接: link.

图片: Alt

带尺寸的图片: Alt

居中的图片: Alt

居中并且带尺寸的图片: Alt

当然,我们为了让用户更加便捷,我们增加了图片拖拽功能。

如何插入一段漂亮的代码片

博客设置页面,选择一款你喜欢的代码片高亮样式,下面展示同样高亮的 代码片.

// An highlighted block
var foo = 'bar';

生成一个适合你的列表

  • 项目
    • 项目
      • 项目
  1. 项目1
  2. 项目2
  3. 项目3
  • 计划任务
  • 完成任务

创建一个表格

一个简单的表格是这么创建的:

项目Value
电脑$1600
手机$12
导管$1

设定内容居中、居左、居右

使用:---------:居中
使用:----------居左
使用----------:居右

第一列第二列第三列
第一列文本居中第二列文本居右第三列文本居左

SmartyPants

SmartyPants将ASCII标点字符转换为“智能”印刷标点HTML实体。例如:

TYPEASCIIHTML
Single backticks'Isn't this fun?'‘Isn’t this fun?’
Quotes"Isn't this fun?"“Isn’t this fun?”
Dashes-- is en-dash, --- is em-dash– is en-dash, — is em-dash

创建一个自定义列表

Markdown
Text-to- HTML conversion tool
Authors
John
Luke

如何创建一个注脚

一个具有注脚的文本。1

注释也是必不可少的

Markdown将文本转换为 HTML

KaTeX数学公式

您可以使用渲染LaTeX数学表达式 KaTeX:

Gamma公式展示 Γ ( n ) = ( n − 1 ) ! ∀ n ∈ N \Gamma(n) = (n-1)!\quad\forall n\in\mathbb N Γ(n)=(n1)!nN 是通过欧拉积分

Γ ( z ) = ∫ 0 ∞ t z − 1 e − t d t   . \Gamma(z) = \int_0^\infty t^{z-1}e^{-t}dt\,. Γ(z)=0tz1etdt.

你可以找到更多关于的信息 LaTeX 数学表达式here.

新的甘特图功能,丰富你的文章

2014-01-07 2014-01-09 2014-01-11 2014-01-13 2014-01-15 2014-01-17 2014-01-19 2014-01-21 已完成 进行中 计划一 计划二 现有任务 Adding GANTT diagram functionality to mermaid
  • 关于 甘特图 语法,参考 这儿,

UML 图表

可以使用UML图表进行渲染。 Mermaid. 例如下面产生的一个序列图:

张三 李四 王五 你好!李四, 最近怎么样? 你最近怎么样,王五? 我很好,谢谢! 我很好,谢谢! 李四想了很长时间, 文字太长了 不适合放在一行. 打量着王五... 很好... 王五, 你怎么样? 张三 李四 王五

这将产生一个流程图。:

链接
长方形
圆角长方形
菱形
  • 关于 Mermaid 语法,参考 这儿,

FLowchart流程图

我们依旧会支持flowchart的流程图:

Created with Raphaël 2.3.0 开始 我的操作 确认? 结束 yes no
  • 关于 Flowchart流程图 语法,参考 这儿.

导出与导入

导出

如果你想尝试使用此编辑器, 你可以在此篇文章任意编辑。当你完成了一篇文章的写作, 在上方工具栏找到 文章导出 ,生成一个.md文件或者.html文件进行本地保存。

导入

如果你想加载一篇你写过的.md文件,在上方工具栏可以选择导入功能进行对应扩展名的文件导入,
继续你的创作。

  1. 注脚的解释 ↩︎

OHeTO
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CORS跨域漏洞的学习
墨痕诉清风的博客
10-03 1895
0x00 从浏览器的同源策略说起 SOP,同源策略 (Same Origin Policy),该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。 浏览器的同源策略规定:不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源。那么何为同源呢,即两个站点需要满足同协议,同域名,同端口这三个条件。 SOP是一个很好的策略,但是随着Web应用的发展,网站由于自身业务的需求,需要实现一些跨域
如何防止CSRF攻击?
ccyzq的博客
03-17 4337
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
csrfcors有啥关系
m0_57236802的博客
12-02 485
CSRF(Cross-Site Request Forgery)和 CORS(Cross-Origin Resource Sharing)虽然听起来类似,但实际上它们处理的是两个完全不同的安全问题。定义:防御机制:定义:使用场景:实现方式:关系:区别:简而言之,CSRF 关注的是防止恶意网站利用用户的登录状态执行不安全的操作,而 CORS 关注的是允许安全、受控的跨源资源访问。
既然 cors 配置可以做跨域控制,那可以防止 CSRF 攻击吗
zhangzhangdan的博客
07-30 800
CORS 一点用也没有 form 提交不通过 CORS 检测,你可以在本地进行测试 即使通过 xhr 及 fetch 进行提交被 CORS 拦住,但是对于简单请求而言,请求仍被发送,已造成了攻击
配置csrf_【阿里】既然 cors 配置可以做跨域控制,那可以防止 CSRF 攻击吗
weixin_42393452的博客
01-14 152
雷西亚湖上的钟楼 ,意大利博尔扎诺(© Scacciamosche/Getty Images)❝本题摘自于我 github 上的面试每日一题:https://github.com/shfshanyue/Daily-Question,并有大厂面经及内推信息,可「在左下角打开本题原文链接」❞「对 CORS 一点用也没有」「form 提交不通过 CORS 检测」,你可以在本地进行测试即使通过 ...
CSRFCORS
Tom098的博客
05-31 799
CSRFCORS没有直接的联系。 在CSRF攻击时,不是通过跨域访问来攻击的,比如从恶意B网站下载的javascript执行时,访问正常网站A,不是这样的。一般是从恶意网站B下载的网页里边有一个超级链接,链接到网站A,这是由于用户登陆过网站A,便会携带身份信息(主要是cookie),向A网站发起操作,比如银行转账等。 Spring Security通过设定一个csrf_token的方式,并且这个token下次访问时,通过header、parameter、cookie的方式携带上来,这样Spring S
SpringSecurity学习笔记(十一)CSRF攻击以及CORS跨域
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-09 1240
什么是CSRFCSRF:跨站请求伪造。也可称为一站式攻击。也可写作XSRF。按照字面意思来理解,跨站请求伪造,意思就是说用户登录了A网站之后,会话没有过期,然后登录了B网站,这个时候B网站中的请求访问了A网站,这个时候A网站就会认为是合法的用户的请求,这个时候用户是无感知的,从而导致用户在A网站的账户出现安全问题。特别是在一些银行之类的网站上如果受到这种攻击,造成的损失是致命的。CSRF防御
CORSCSRF
weixin_34318272的博客
05-18 2103
为什么80%的码农都做不了架构师?>>> ...
CORS 可以防止 CSRF 吗?为什么
05-20
CORS(跨源资源共享)并不能完全防止 CSRF(跨站请求伪造)攻击。虽然CORS通过同源策略限制了浏览器对跨域资源的访问,但是CSRF攻击利用的是用户在已经登录过的网站上的权限来伪造请求,因此跨域请求是可以通过用户...
怎么防止跨站请求伪造攻击(CSRF)?
Learn-anything.cn
11-24 1399
一、CSRF 是什么? 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 二、实际攻击场景 下面用一个银行网站的转账功能,说明攻击原理。备注:涉及到 URL 等信息都是虚构。 1、登录账号 正常登录了一家银行网站,查看其后台信息后,没有退出登录; 假设这家银行操作转账的 URL
前端安全系列】【万字解析】如何防止CSRF攻击?
老司机的后备箱
12-22 218
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie。
深入理解跨域与跨域攻击CSRF
热门推荐
lqb3732842的博客
06-16 3万+
此文适合了解跨域与CSRF攻击,但又好像似懂非懂的童鞋阅读,对于没有了解过跨域或者跨域攻击的童鞋可以先去了解跨域跟CSRF 再回来看 先看问题 1:为何浏览器要有同源策略,限制跨域? 2:同源策略有什么限制? 3:浏览器既然有同源策略,为何还允许JSONP 或者COSF解决跨域? 4:浏览器已经限制跨域为何还会有csrf? 5:scrf防御核心思想是啥? 1:为何浏览器要有同源策略,限制跨域? 答1:浏览器没有同源策略 那csrf攻击将会轻而易举,网站cookie随手可取,任何网站将变得不安全 eg:用户登
web 跨域问题(SOP/CORS/CSRF
zdplife的专栏
02-18 2622
同源策略 - same origin policy(SOP) 概念:两个网页同源是指这两个网页的协议,域名,端口全部相同 举例来说,http://www.example.com/dir/page.html这个网址,协议是http,域名是www.example.com,端口是80,它的同源情况如下: http://www.example.com/dir2/other.html 同源 ht...
CSRF,SSRF和重放攻击的区别
最新发布
weixin_61074128的博客
09-05 263
SSRF,全称Server-Side Request Forgery,是一种由攻击者构造请求,使服务器端发起请求的安全漏洞。重放攻击(Replay Attacks),又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,以达到欺骗系统的目的。攻击者通过伪造用户的请求,利用用户对网站的信任,诱导用户在其不知情的情况下执行某些操作,如转账、提交表单等。攻击者将截获的数据包重新发送给目标系统,以欺骗系统认为是一次新的有效请求。在服务器端验证请求的时效性,拒绝过期的请求。对请求地址进行严格的过滤和验证。
通过组合Self-XSS + CSRF得到存储型XSS
2301_80127209的博客
09-05 440
在一次漏洞赏金挖掘中,我在更改用户名的功能点出发现了一个XSS,在修改用户名的地方添加了一个简单的XSS payload并且刷新页面
在 eggjs 中忽略 CSRF
南城
09-02 357
通过以上方法,你可以在 Egg.js 中根据需要忽略 CSRF 保护。选择合适的方法来处理 CSRF 令牌问题,确保在禁用 CSRF 保护时考虑到安全性。
【网络安全】CSRF漏洞—CSRF基础漏洞防御
goldfish8848的博客
09-01 945
跨站点的请求请求是伪造的(假装可信)Cross-Site Request Forgery,跨站请求伪造。它是一种挟持用户在当前已登陆的Web应用程序上执行非本意的操作的攻击方法。同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据会被拒绝同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。
vue3+vite 通过js引入的src,在打包后为什么不能显示
肖肖肖丽珠的博客
09-02 299
页面有个图片我是动态设置的。但是打包之后一直没有找到。我本来使用的绝对定位发现不行,改成了相对的也不行,最后改成下面的这种就可以啦。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值