层层剖析一次 HTTP POST 请求事故

最新推荐文章于 2022-10-16 16:44:27 发布
最新推荐文章于 2022-10-16 16:44:27 发布
阅读量254 收藏
点赞数
分类专栏: python 文章标签: http flask 网络协议 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56069948/article/details/124819189
版权
本文详细记录了一次因HTTP POST请求触发的跨域问题,从问题描述到排查步骤,再到问题分析和解决。文章深入探讨了跨域保护机制、CORS协议、XSS攻击和防御策略,最终定位到WAF层的拦截规则导致的问题,并提供了问题解决方法。
摘要由CSDN通过智能技术生成

🚀 优质资源分享 🚀

学习路线指引(点击解锁) 知识定位 人群定位
🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。
💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统

vivo 互联网服务器团队- Wei Ling

本文主要讲述的是如何根据公司网络架构和业务特点,锁定正常请求被误判为跨域的原因并解决。

一、问题描述

某一个业务后台在表单提交的时候,报跨域错误,具体如下图:

图片

从图中可看出,报错原因为HTTP请求发送失败,由此,需先了解HTTP请求完整链路是什么。

HTTP请求一般经过3个关卡,分别为DNS、Nginx、Web服务器,具体流程如下图:

  • 浏览器发送请求首先到达当地运营商DNS服务器,经过域名解析获取请求 IP 地址
  • 浏览器获取 IP 地址后,发送HTTP请求到达Nginx,由Nginx反向代理到Web服务端
  • 最后,由web服务端返回相应的资源

图片

了解HTTP基本请求链路后,结合问题,进行初步调查,发现此form表单是application/json格式的post提交。同时,此业务系统采用了前后端分离的架构方式(页面域名和后台服务域名不同 ), 并且在Nginx已经配置跨域解决方案。基于此,我们进行分析。

二、问题排查步骤

第一步:自测定位

既然是form表单,我们采用控制变量法,尝试对每一个字段进行修改后提交测试。在多次试验后,锁定表单中的moduleExport 字段的变化会导致这个问题

考虑到moduleExport字段在业务上是一段JS代码,我们尝试对这段JS代码进行删除/修改,发现:当字段moduleExport中的这段js代码足够小的时候,问题消失。

基于上述发现,我们第一个猜想是:会不会是HTTP响应方的请求body大小限制导致了这个问题。

第二步:排查 HTTP 请求 body 限制

由于采用前后端分离,真实的请求是由 XXX.XXX.XXX 这个内网域名代表的服务进行响应的。而内网域名的响应链如下:

图片

那么理论上,如果是HTTP请求body的限制,则可能发生在 LVS

最低0.47元/天 解锁文章
[虚幻私塾】
关注
专栏目录
源码深度剖析Spring Cloud Gateway如何处理一个请求只能那么细了
健身变秃,coding变强
07-28 1万+
史无前例最详细版源码剖析Spring Cloud Gateway如何处理一个请求? 含:ReactorHttpHandlerAdapter接收请求HttpWebHandlerAdapter解析请求、WebFilterChain做Web层面的过滤、DispatcherHandler处理请求、RoutePredicateHandlerMapping获取Route路由规则、核心过滤器链FilterWebHandler最后过滤请求............
【Java面试题】一次完整的Http请求过程(非常详细)
qq_43679627的博客
01-11 4110
【Java面试题】一次完整的Http请求过程(非常详细)
容器重启23次,原因竟然是。。。。
林老师带你学编程
06-12 1959
最烦的事情,莫过于服务莫名其妙的重启,当你看到一个服务一天重启23次,你会是怎样的一个感觉,反正博主我快要摔电脑了。。。。 问题既然已经发生了,肯定得动手术刀解决它。在开始看代码之前,我们可以先来假想一下,发生服务重启的原因可能有哪些,然后再根据可能性一条条的排查,这种方式可以快速的帮助我们分析并找到最终的问题点。 服务重启的可能原因: 第三方软件失效导致容器重启(MySQL、Redis、MQ等) 并发过高,导致cpu满负荷,服务宕机重启 容器所需资源被其它容器所干扰,导致资源不够重启 .
POST基于错误的SQL注入
qq_43776408的博客
06-05 376
Burp抓取HTTP请求 Burp是用java编写的 具体抓取方法很简单 你会的 POST基于错误单引号注入 GET和POST是注入位置不同 然后你会回车 用Burp抓取 查看数据包内容 里面就有用户名和密码 在Burp中我们可以点击repeater 我们之前在浏览器的网址栏测试的可以直接在repeater中进行测试 也就是通过做左边最下面一行增加引号反斜杠等等,查看右边下面结果 从而判断原sql语句 你会发现这种方式是通过第三方软件进行修改的 不是直接通过浏览器的网址栏进行的 所以这叫post 之前学
对于post方式向后台传sql语句遇到转意问题的思考
我的博客
04-03 1128
综述:今天使用post方式向后台传递sql语句,别莫名的转移了,空格变成了加号,还多了别的符号,但是通过get方式就没有问题,将思考记录下来; 1.本来是想在前端写sql语句,然后通过ajax将查询语句传给后端,后端去执行查询操作。但是发现使用post请求,但是被转意的问题: 输入的sql: select * from myDb ajax发送出去的sql: select%%*fr...
web渗透测试中WAF绕过讲解(二)基于HTTP协议绕过
ZDH5362的博客
08-20 581
0x01 前言 在讲本课的内容之前我们先来了解互联网中的HTTP是什么? 超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。1960年美国人Ted Nelson构思了一种通过...
层层剖析一次 HTTP POST 请求事故.doc
07-13
层层剖析一次 HTTP POST 请求事故》 在信息技术领域,HTTP POST 请求是常见的数据提交方式,但有时可能会遇到一些意外的问题,比如本次事故中提到的跨域错误。本文将深入探讨如何根据公司网络架构和业务特性,...
爬虫requests库-4-requests模块发送post请求(以百度翻译为例)
weixin_44464367的博客
08-13 1222
哪些地方会用到post请求 登录注册,post比get更安全 数据放在请求体里,不会放在url地址里。 需要传输大文本内容时 post请求对数据长度没有要求,url太长,无法使用get 发送post请求的用法 response = requests.post(“http://www.baidu.com”,data=data,headers=headers) data的形式:字典 复习:发...
ssm项目在使用postman测试时出现SQL类型bug:
啊阿啊啊啊杨的博客
10-16 351
Cause: com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '}, 具体来看终端显示的语句:可以发现在sql语句中values值后出现未编译成功的
springboot接收post请求被安全机制拦截到登录页面的解决方法
weixin_48451823的博客
11-26 3523
明明已经放行了请求路径,但访问时还是会被拦截返回到登录页面。 纠结了好一会,最后终于找到了解决方法。 关闭csrf防护就可以正常访问了
python接口自动化 post请求,body 带headers参数
m0_37347812的博客
11-17 1801
python接口自动化 post请求,body 带headers参数 Python请求外部POST请求,常见四种请求
3-6POST方式下的XSS漏洞
山兔的博客
04-23 1869
这边有个靶场,我们直接登录一下,这边的提交以post方式提交 我们可以看到,他并没有在url里面来传这个参数,我们看一下抓包 我们可以看到message是通过post方式传到后台的,这种情况下,我们没有办法把我们的恶意代码嵌入到url里面,发送给目标 POST型XSS的利用:cookie获取 在post方式下,我们没有办法发送url,让客户去帮我们提交表单,我们首先可以自己搭一个恶意站点,然后在里面写一个post表单,我们可以把这个表单的链接,发送给用户,让他去点击,他一旦访问post页面,这个页面,
宝塔 Nginx免费防火墙 post 参数太多POST传递的参数数量超过800,拒绝访问,如有误报请点击误报
php菜鸟技术天地
12-09 4352
错误:参数太多POST传递的参数数量超过800,拒绝访问,如有误报请点击误报 原因:表单参数超过800个参数了: max_input_vars默认为1000个,于是改成了10000,记录一下
http请求被防火墙截取了
weixin_34307464的博客
08-08 1508
tcpdump抓包发现seq 1:1441,服务器有ack回复。但是seq 1441:2711没有回复,不截取了,重试了几次都不行。16:50:39.011472IP192.168.1.157.34636>192.168.1.103.8888:Flags[.],seq1:1441,ack1,win229,options[nop,nop,TS...
K8S部署ingress-nginx
zhangjunli的博客
07-23 3998
下载ingress-nginx yaml wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/static/provider/baremetal/deploy.yaml # 部署环境为私有环境没有lb 所有把Deployment 改成DaemonSet 同时网络模式使用hostNetwork # 同时配文件 跟启动参数修改 # kubelet 参数node-ip 为ipv6 模式记得修改 servic
post网络请求,支持多层字典参数
gdutxzy的专栏
10-23 2729
下面post请求的参数是没有做多层递归编码的,只是按照公司的规则对第二层进行json化。正常的url参数递归编码,参考AFNetworking里的AFQueryStringFromParameters()函数; /// post 普通参数 + (void)postAsynWithURL:(NSURL*)aURL parems:(NSDictionary *)postParems compile...
前端请求一次为什么会有两次post
最新发布
09-18
这种情况下,前端会发送两次POST请求,第一次请求是原始请求,第二次是重定向后的请求。 2. 并行请求:在某些情况下,前端可能需要同时发送多个请求,以提高页面加载速度或同时获取多个资源。这种情况下,前端会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

[虚幻私塾】

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值