CORS(跨域源资源共享)&&CSRF(Cross-site request forgery)跨站请求伪造简介

已于 2023-04-24 00:18:31 修改
阅读量564 收藏 1
点赞数
分类专栏: SpringBoot 文章标签: csrf 前端 javascript
于 2019-08-09 12:17:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37432174/article/details/98949573
版权

我们知道协议、域名、端口其中有一项不同,与路径不同无关,则为不同源,不同源的URL发送请求则为跨域请求。在浏览器中跨域采用同源策略。同源策略不仅是前端的问题。
传统的方法是通过jsonp,或者JS的

JSONP 虽然能解决跨域但是有一个很大的局限性,那就是只支持 GET 请求,不支持其他类型的请求。

这里我们在SpringBoot中使用CORS来解决同源策略
CORS(跨域源资源共享)(CORS,Cross-origin resource sharing)是一个 W3C 标准,一份浏览器技术的规范,提供了 Web 服务从不同网域传来沙盒脚本的方法,以避开浏览器的同源策略,这是 JSONP 模式的现代版。

主要的是这里是两个不同的项目,因为它们在要不同端口进行。

两种方式:
1.给每个controller都加上注解,指定它能接受的地址请求。


/**
 * @author ZSL
 * @ClassName MyController
 * @description
 * @date 2019/8/9
 */
@RestController
public class MyController {

    @GetMapping("/gethello")
    @CrossOrigin(value = {"http://localhost:8084","http://localhost:8081"})
   public String getCors(){
       return "getCors";
    }


    @PostMapping("/posthello")
    @CrossOrigin(value = {"http://localhost:8084","http://localhost:8081"})
    public String postCors(){
        return "getPost";
    }

}


<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="jquery3.3.1.js"></script>
</head>
<body>
<div id="app"></div>
<input type="button" onclick="btnClick()" value="get_button">
<input type="button" onclick="btnClick2()" value="post_button">
<script>
    function btnClick() {
        $.get('http://localhost:8080/gethello', function (msg) {
            $("#app").html(msg);
        });
    }

    function btnClick2() {
        $.post('http://localhost:8080/posthello', function (msg) {
            $("#app").html(msg);
        });
    }
</script>

</body>
</html>

可以指定多路径。
@CrossOrigin表示这两个接口接受来自
http://localhost:8084,http://localhost:8081, 地址的请求,配置完成后,重启 provider ,再次发送请求,浏览器控制台就不会报错了,consumer 也能拿到数据了。
一个个的给controller加上指定接受路径太麻烦了,所以这个也是可以给一个类加上注解的。

2.可以配置全局接受路径,让这个应用下都可以接受指定的路径

/**
 * @author ZSL
 * @ClassName CorsConfig
 * @description
 * @date 2019/8/9
 */
@Configuration
public class MyCorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("http://localhost:8084")
                .allowedMethods("*")
                .allowedHeaders("*")
                .maxAge(1800);
    }
}

/**表示本应用的所有方法都会去处理跨域请求, allowedMethods 表示允许通过的请求数,allowedHeaders 则表示允许的请求头。经过这样的配置之后,就不必在每个方法上单独配置跨域了。

CSRF(Cross-site request forgery)跨站请求伪造
跨站请求伪造也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF ,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法.
比如:
你在充值QB的网站是http://qq.com/aa?bb=cc,在你访问不久,也就是你的信息尚未过期,这时你进入了一个恶意攻击的网站,它有JS的

所以在实际操作中,浏览器会对请求进行分类,分为简单请求,预先请求,带凭证的请求等,
预先请求会首先发送一个 options 探测请求,和浏览器进行协商是否接受请求
默认情况下跨域请求是不需要凭证的,服务端可以配置要求客户端提供凭证,这样就可以有效避免 csrf 攻击

偷偷学习被我发现
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
flask-cors:资源共享CORS)对Flask的支持
04-28
烧瓶CORS Flask扩展,用于处理资源共享CORS),使得源AJAX成为可能。 这个软件包有一个简单的理念:当您想要启用CORS时,您希望针对域中的所有用例启用它。 这意味着不会混用不同的允许的标头,方法等。 默认情况下,出于安全考虑,域提交Cookie处于禁用状态。 请参阅文档,了解如何启用凭据请求,并确保在添加保护之前,一定要添加! 安装 使用pip或easy_install安装扩展。 $ pip install -U flask-cors 用法 该软件包公开了Flask扩展名,默认情况下,该扩展名启用所有来源和方法的所有路线上的CORS支持。 它允许在每个资源级别上对所有CORS标头进行参数化。 该软件包还包含一个装饰器,供那些喜欢这种方法的人使用。 简单用法 在最简单的情况下,请使用默认参数初始化Flask-Cors扩展名,以允许对所有路由上的所有域进行COR
你可能不知道的CORS资源共享
10-17
主要给大家介绍了关于CORS资源共享的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者使用CORS具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
CSRF(Cross-site request forgery请求伪造
weixin_59496235的博客
03-26 963
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。我们通常是给受害者发送一个链接,而在正常的情况下人们通常不会点击一个很长的、看起来就不正常的链接,这个就需要利用到社会工程学,学会利用人们的心理来达到我们的目的,诱使他们点击我们构造的链接,这种情况下我们需要把长的链接转化成一个短的链接,而网上正好可以找到很多这种在线的工具。
CORS和CSRF
myli92的博客
05-12 480
一、CORS 和 CSRF 区别 CORS(Cross Origin Resource Sharing)资源分享 CORS是一种机制,通过在HTTP响应头中加入特定字段限制不同域的资源请求CSRF(Cross Site Request Forgery)请求伪造 CSRF(Cross Site Request Forgery)请求伪造 CSRF 是一种web攻击手段,通过向服务器发送伪造请求,进行恶意行为的攻击手段 XSS : ...
CSRF与CORS
Tom098的博客
05-31 734
CSRF与CORS没有直接的联系。 在CSRF攻击时,不是通过域访问来攻击的,比如从恶意B网下载的javascript执行时,访问正常网A,不是这样的。一般是从恶意网B下载的网页里边有一个超级链接,链接到网A,这是由于用户登陆过网A,便会携带身份信息(主要是cookie),向A网发起操作,比如银行转账等。 Spring Security通过设定一个csrf_token的方式,并且这个token下次访问时,通过header、parameter、cookie的方式携带上来,这样Spring S
SpringSecurity学习笔记(十一)CSRF攻击以及CORS
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-09 1114
什么是CSRFCSRF:请求伪造。也可称为一式攻击。也可写作XSRF。按照字面意思来理解,请求伪造,意思就是说用户登录了A网之后,会话没有过期,然后登录了B网,这个时候B网中的请求访问了A网,这个时候A网就会认为是合法的用户的请求,这个时候用户是无感知的,从而导致用户在A网的账户出现安全问题。特别是在一些银行之类的网上如果受到这种攻击,造成的损失是致命的。CSRF防御。
CSRF 伪造请求
技术的搬运工
01-30 384
伪造请求(英语:Cross-site request forgery),通常缩写为CSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟脚本(XSS)相比,XSS 利用的是用户对指定网的信任,CSRF 利用的是网对用户网页浏览器的信任。
CSRF请求伪造
Author_CHEN的博客
08-31 1406
CSRF请求伪造 经了解,还是有很多系统没有针对该攻击做防御措施。即便如此,并不建议、推荐抑或是鼓励大家使用该方式攻击别人的网、系统或App等。 攻击行为可能触犯刑法破坏计算机信息系统罪或其他罪。 CSRF请求伪造 一、简介 二、举例 三、常用防御方式 1. session防御 2. 人工防御 3. 配置cookie的Same-Site 1. Strict 2. Lax 3. None 4. 服务端防御 四、拓展 一、简介 CSRF(Cross Site Request Fo
干货!!学习 CSRF 请求伪造,看这一篇就够了
喜欢Python编程的程序员柚柚呀
06-21 537
才行。其实很简单,比如我们使用 QQ,看看 QQ zone,突然蹦出个包含中奖或者问卷调查链接的聊天窗口(或者是。。。),这个腾讯做了防范,但是我们收到封邮件包含此内容,很多用户会选择去点击在网上找了张图片很能说明这个过程。
什么是csrf、cors?有啥区别?
m0_73302761的博客
07-21 267
本文参考 原文链接:https://blog.csdn.net/weixin_47450807/article/details/123227342请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CORS(Cross-Origin Resource Sharing, 资源共享)当一个请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为域。因此,要想实现CORS进行域需要服务器进行一些设置,同时前端也需要做一些配置和分析。
资源共享 CORS 详解
11-23
它允许浏览器向源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 本文详细介绍CORS的内部机制。 (图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园) 一、简介 CORS需要浏览器和服务器同时...
浅析jsopn请求原理及cors资源共享)的完美解决方法
12-07
由于同源策略的缘故,ajax不能向不同域的网发出请求。 比如alocalhost需要向b请求数据,地址为:http://www.walk-sing.com/api.php 请求的代码如下: <html> [removed][removed] [removed] $.get(...
Spring Security的CORS与CSRF(三)
致力于不留技术债务cuizb.top
03-31 1597
文章目录域JSONPCORSSpring Security启用CORSCSRFCSRF的攻击过程CSRF的防御手段使用Spring Security防御CSRF攻击 域 在之前的文章[Spring Boot或Spring MVC前后端分离的项目域问题的解决方案]已经介绍过域以及域的解决方案。 在学习Spring Security的时候发现,Security框架也通过HttpSecurity进行链式配置解决域问题,是通过CORS进行解决的,随意还是会重点讲解相关CORS。 JSONP JSONP.
域的区别;前端多种域方式
weixin_50464560的博客
08-13 3163
一、域的由来(前端多种域方式)          域大家都不陌生,域是为了克服浏览器的同源策略。但可能对浏览器为什么会出同源策略有些陌生。这里先简单介绍域的由来。         浏览器的同源策略是为了限制CSRF攻击,因为我们有些场景确实需要,访问不同域名下的资源,所以需要域。所以就出现了各种域的方式,如JSONP、CORS、H5的postMessage、N...
【全栈修炼】CORS和CSRF修炼宝典
ywb201314的专栏
05-15 190
《全栈修炼》系列 《【全栈修炼】OAuth2修炼宝典》 CORS 和 CSRF 太容易混淆了,看完本文,你就清楚了。 一、CORS 和 CSRF 区别 先看下图: CORS 和 CSRF 区别 两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍: CORS : Cross Origin Resourse-Sharing 资源共享 CSRF : Cross-Site Request Forgery 请求伪造 XSS : Cross Site Scri
csrf和cors有啥关系
最新发布
m0_57236802的博客
12-02 453
CSRF(Cross-Site Request Forgery)和 CORS(Cross-Origin Resource Sharing)虽然听起来类似,但实际上它们处理的是两个完全不同的安全问题。定义:防御机制:定义:使用场景:实现方式:关系:区别:简而言之,CSRF 关注的是防止恶意网利用用户的登录状态执行不安全的操作,而 CORS 关注的是允许安全、受控的资源访问。
Django面试题——CSRF和CORS的区别
python全栈
08-02 545
1、在用户访问django的可信点时,django反馈给用户的表单中有一个隐含字段csrftoken,这个值是在服务器端随机生成的,每一次提交表单都会生成不同的值2、当用户提交django的表单时,服务器校验这个表单的csrftoken是否和自己保存的一致,来判断用户的合法性3、当用户被csrf攻击从其他点发送精心编制的攻击请求时,由于其他点不可能知道隐藏的csrftoken字段的信息这样在服务器端就会校验失败,攻击被成功防御。...
CSRF和CORS:白帽子的最爱
鹅子鱼的博客:很菜但是很好学的小菜鸟
04-23 196
嗨,亲爱的师傅们!你在某个网登录并留下了你的宝贵信息,然后突然发现你的邮箱被黑客改了!这就是CSRF攻击!学习CSRF还可以帮助我们更好地了解安全性(挖洞!),以便提高自己的技能并找到更多的漏洞(CSRF(Cross-site request forgery请求伪造:攻击者诱导受害者进入第三方网,在第三方网中,向被攻击网发送请求
SpringBoot文件上传 MultipartAutoConfiguration源码简单解析
qq_37432174的博客
08-09 2745
SpringBoot中文件上传 老样子,先上代码,再源码分析 SpringBoot里自动装配了MultipartResolver 所以这样我们可以不用加依赖 文件上传类 @RestController public class UploadController { SimpleDateFormat sdf = new SimpleDateFormat("/yyyy/MM/dd/"); ...
cors资源共享
07-28
CORS(Cross-Origin Resource Sharing)是一种机制,用于允许在一个域名下的Web应用程序访问另一个域名下的资源。默认情况下,浏览器会限制请求,以防止恶意的行为。但是,使用CORS,服务器可以通过在响应头中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

偷偷学习被我发现

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值