什么是跨域,有什么攻击,如何防止攻击

最新推荐文章于 2024-03-02 09:38:15 发布
最新推荐文章于 2024-03-02 09:38:15 发布
阅读量5.1k 收藏 2
点赞数
分类专栏: 常用

nginx跨域配置

    首先,贴上nginx work的配置

server{
listen 8099;
server_name wdm.test.cn;
location / {

  // 没有配置OPTIONS的话,浏览器如果是自动识别协议(http or https),那么浏览器的自动OPTIONS请求会返回不能跨域
  if ($request_method = OPTIONS ) {
    add_header Access-Control-Allow-Origin "$http_origin";
    add_header Access-Control-Allow-Methods "POST, GET, PUT, OPTIONS, DELETE";
    add_header Access-Control-Max-Age "3600";
    add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept, Authorization";
    add_header Access-Control-Allow-Credentials "true";
    add_header Content-Length 0;
    add_header Content-Type text/plain;
    return 200;
  }
  add_header 'Access-Control-Allow-Origin' '$http_origin';
  add_header 'Access-Control-Allow-Credentials' 'true';
  add_header 'Access-Control-Allow-Methods' 'GET, PUT, POST, DELETE, OPTIONS';
  add_header 'Access-Control-Allow-Headers' 'Content-Type,*';
  proxy_pass http://127.0.0.1:8080;
  }
}

 

    其次,既然碰到了就想理解下为什么需要这样,一开始脑袋还真钻进去了。

   以下引自知乎:

  • DOM同源策略:禁止对不同源页面DOM进行操作
  • XmlHttpRequest同源策略:禁止向不同源的地址发起HTTP请求
AJAX同源策略主要用来防止CSRF攻击。如果没有AJAX同源策略,攻击过程如下:
我们发起的每一次HTTP请求都会全额发送request地址对应的cookie,那么
  1. 用户登录了自己的银行页面向用户的cookie中添加用户标识
  2. 用户浏览了恶意页面 。执行了页面中的恶意AJAX请求代码
  3. 发起AJAX HTTP请求,请求同时对应cookie也同时发送过去
  4. 银行页面从发送的cookie中提取用户标识,验证用户标识无误,response中返回请求数据。此时数据泄露。
  5. 由于Ajax的后台执行,此时用户没有意识这一过程。
     引用内容完毕。
     从上面这段文字可知,如果在不需要服务器允许的前提下就能够进行跨域ajax请求的话,那么一个黑客网站只要你用了,那么你登录
过的其它系统的用户信息他都可以获取得到。
 
     好吧,再引一段 

        简单的说,你把Cookie托付给浏览器保存,浏览器要保证你的Cookie不被恶意网站利用。

        同源策略并不能防止DDos,因为跨域的Ajax也会被请求,如果用Ajax请求,浏览器会先发出 

   请求,并且带上的Cookie。拿到的响应之后(可能有敏感数据),浏览器才会根据Header

   里的Access-Control-Allow-Origin决定是否把结果交给里的脚本。(或者先发一个OPTIONS请求看一下CORS设

   置,再决定是否要发真正的请求。)

       因此浏览器只是起到了最基本的防御,在写程序的时候还是要注意防御CSRF,比如关键操作不要用GET,POST请求要做额外的验证(
   验证码,随机数,Refer,Token)等等。
    引用完毕,, 不过有个疑问出现了,上面我提到OPTIONS是因为查询协议需要的,但是从这里来看就是去看看
跨域设置而已。希望有懂的朋友帮忙确定一下。

以上知乎内容转自:https://www.zhihu.com/question/20138568/answer/52659925
看下百度百科对同源策略的说法:
同源策略,它是由 Netscape提出的一个著名的 安全策略
现在所有支持JavaScript 的浏览器都会使用这个策略。
所谓同源是指,域名,协议,端口相同。
当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面
当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,
即检查是否同源,只有和百度同源的脚本才会被执行。[1]  
如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。
 
同源策略的精髓很简单:它认为自任何站点装载的信赖内容是不安全的。当被 浏览器半信半疑的脚本运行在 沙箱时,
它们应该只被允许访问来自同一站点的资源,而不是那些来自其它站点可能怀有恶意的资源。
 
就是说浏览器不允许你进行跨域操作,但是也开了个口子,如果某服务就是希望大家在哪都能调用我,当然一般情况下是公司内部不同项目之间调用
用到这种场景较为平常,不然你写个谁都可以攻击你的网站干啥呀,让别人在脚本可以调用你的服务对你的服务器而言没有用,产品也没有增大曝光率,
简直百害而无一利。
 
 顺便转转讲XSS、CSRF的博文:
http://blog.csdn.net/ghsau/article/details/17027893
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
努力搬砖1122
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS跨域攻击在web项目中的防范,基于antisamy技术
07-10
介绍了XSS跨域攻击在web项目中的防范,基于antisamy技术。
XSS跨域站点攻击antisamy解决策略文件
10-17
包含常用策略xml文件:antisamy-slashdot-1.4.4.xml、antisamy-ebay-1.4.4.xml、antisamy-anythinggoes-1.4.4.xml、antisamy-tinymce-1.4.4.xml
Spring Boot如何彻底解决跨域问题,五种方案来看看吧
最新发布
2301_77899321的博客
03-02 1263
在Spring Boot项目中可以通过配置来解决跨域问题,在Spring Boot的配置类中添加一个跨域配置的Bean。
前端安全之XSS攻击
02-25
XSS(cross-sitescripting跨域脚本攻击攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击。1.做个假设,当亚马逊在搜索书籍,搜不到书的时候显示提交的名称。2.在搜索框搜索内容,填入“[removed]alert('handsomeboy')[removed]”,点击搜索。3.当前
XSS跨域攻击讲义
08-19
网络安全 XSS跨域攻击 JS注入 互联网安全
nginx跨域配置
weixin_30783913的博客
04-17 158
首先,贴上nginx work的配置 server{ listen 8099; server_name wdm.test.cn; location / {   // 没有配置OPTIONS的话,浏览器如果是自动识别协议(http or https),那么浏览器的自动OPTIONS请求会返回不能跨域   if ($request_method = OPTI...
内网 —— 跨域攻击
战神/calmness的博客
12-09 715
目录 跨域攻击的方法 利用域信任关系的跨域攻击 域信任关系 获取域信息 利用域信任密钥获取目标域的权限 利用krbtgt 散列值获取目标域的权限 外部信任和林信任 利用无约束委派 和 MS-RPRN 获取信任林权限 防范跨域攻击 跨域攻击的方法 都有自己的内网,一般通过域林进行共享资源。根据不同职能区分 利用域信任关系的跨域攻击 域信任关系 获取域信息 利用域信任密钥获取目标域的权限 ...
什么前端跨域?如何解决跨域问题?什么是跨域攻击
tyxjolin的专栏
03-30 1268
跨域问题是前端开发中一个常见的问题。本文介绍了跨域问题的原因、常见的跨域解决方案、跨域攻击方式以及跨域安全措施。在实际开发中,需要根据具体的情况选择合适的跨域解决方案,并且需要注意跨域请求的安全性。
防止跨域攻击Java_XSS跨域脚本攻击 攻击——防御 策略分析【转】
weixin_33812391的博客
03-01 626
摘要:一、概述< h2>①XSS 是什么< h3>跨站脚本攻击(XSS)是一种代码注入攻击攻击者利用它可以在其它用户浏览器中执行恶意 JavaS 一、概述①XSS 是什么跨站脚本攻击(XSS)是一种代码注入攻击攻击者利用它可以在其它用户浏览器中执行恶意 JavaScript。攻击者并不是直接面对受害者。而是,为了让网站替自己传输恶意 JavaScript,攻击者需...
CSRF跨域攻击及预防
song_myth的博客
08-11 767
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状   C
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1706
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件...
Android移动应用跨域攻击检测.pdf
09-21
Android移动应用跨域攻击检测.pdf
跨域攻击分析和防御(中)
Ms08067安全实验室
12-04 839
点击星标,即时接收最新推文利用域信任密钥获取目标域权限搭建符合条件域环境,域林内信任环境搭建情况如下,如图7-8所示。父域域控:dc.test.com (Windows Server 2008 R2)子域域控:subdc.test.com (Windows Server 2012 R2)子域内计算机:pc.sub.test.com (Windows 7)子域内普通用户:sub\test图 7-8...
CSRF(跨域请求伪造)和XSS(跨域脚本攻击)的概念和防范措施
tscn1的博客
03-22 989
这里写目录标题CSRF(跨域请求伪造)原理:防御cookie的sameSite验证referer和Origin二次验证使用非cookie令牌XSS(跨域脚本攻击)存储型XSS反射型DOM型 CSRF(跨域请求伪造) 恶意网站以正常用户为媒介,通过模拟正常用户的操作,攻击其登录过的网站。 原理: 1. 正常用户登录后,获得正常站点的令牌,以cookie的形式保存。 2. 用户访问恶意站点,恶意站点通过某种形式去请求了正常网站,然后将用户的令牌传递到正常网站,完成攻击。 防御 cookie的sameSite
php如何防止跨域攻击,php预防XSS攻击,ajax跨域攻击的方法
weixin_29021291的博客
03-27 281
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。现在有很多php开发框架都提供关于防XSS攻击的过滤方法,下面和大家分享一个预防XSS攻击和ajax跨域攻击的函数...
Java_常瑞鹏 Java Web HttpServletRequest
ddmkmbdq307072的博客
10-26 192
HttpServletRequest对象代表客户端的请求,当客户端通过HTTP协议访问服务器时,HTTP请求头中的所有信息都封装在这个对象中,开发人员通过这个对象的方法,可以获得客户这些信息。 request常用方法 获得客户机信息 •getRequestURL方法返回客户端发出请求时的完整URL。 •getRequestURI方法返回请求行...
防止跨域攻击
weixin_34273046的博客
04-03 337
ValidateAntiForgerYToken 转载于:https://www.cnblogs.com/boosasliulin/p/5350171.html
Java防跨域攻击解决方案
懒虫一个V
06-15 4470
思路: 判断referer里的地址是否和当前的地址一致,如果不一致则说明是跨域攻击的,否则不是 /** * 验证请求的合法性,防止跨域攻击 * * @param request * @return */ @SuppressWarnings("rawtypes") publicstatic boolean validateRequest(HttpServletReques
跨域post 及 使用token防止csrf 攻击
热门推荐
ymark
12-30 3万+
1.利用iframe进行跨域post提交 2.csrf的攻击和防御措施 3.使用token保护请求 4.关于webapp跨域提交的问题
csr防止跨域请求,跨域攻击
08-14
### 回答1: CSR(客户端渲染)是指 JavaScript 应用程序在浏览器中运行并生成用户界面的方式。因为浏览器有同源策略的限制,导致跨域请求无法直接发送。跨域资源共享(CORS)是浏览器用来解决这个问题的技术,服务器端可以通过在响应中设置特定的 HTTP 头来允许跨域请求。 跨域攻击是指攻击者利用了浏览器的同源策略限制来获取用户敏感信息。常见的有XSS(跨站脚本攻击)和CSRF(跨站请求伪造)。为了防止跨域攻击,应当使用CORS机制严格限制哪些域可以访问服务器,同时应当使用防跨站请求伪造(CSRF)技术来防止攻击者伪造请求。 ### 回答2: CSR(Cross-Site Request)是一种安全机制,旨在防止跨域请求和跨域攻击跨域请求是指Web应用程序在一个域名下发送HTTP请求,但目标资源位于另一个不同的域名下。这种请求通常是由于前端页面中的JavaScript代码发送的,然而,由于浏览器的同源策略,跨域请求默认是被禁止的。 同源策略是一种浏览器安全机制,用于限制从一个源(协议+域名+端口)加载的文档或脚本如何与来自另一个源的资源进行交互。它的目的是保护用户信息的安全,防止恶意攻击者利用其他网站的漏洞来获取用户敏感数据。 为了实现跨域请求,可以使用CORS(跨来源资源共享)机制。CORS通过在HTTP响应头中添加特定的字段,使服务器能够允许跨域请求。前端页面发送的请求会先向服务器发送一个预检请求(OPTIONS请求),服务器通过响应头中的字段来确定是否允许该请求。 然而,即使使用了CORS,仍然需要注意跨域攻击(Cross-Site Scripting,XSS)的风险。XSS攻击是指攻击者通过注入恶意脚本代码到受信任网站的合法页面中,来获取用户的敏感信息或执行其他恶意操作。为了防止XSS攻击,可以对用户输入进行严格的过滤和验证,并在输出时进行适当的转义。 此外,还可以使用其他安全机制来增强安全性,如使用安全的HTTP头(如X-Frame-Options,Content-Security-Policy等),限制特定域名下的资源访问。同时,定期更新和维护服务器和应用程序以修补潜在的安全漏洞,也是非常重要的。 总而言之,CSR可以通过CORS机制来防止跨域请求,并采取其他安全措施来防止跨域攻击,保护用户的信息安全。 ### 回答3: CSR(Cross-Site Request)是一种安全机制,用于防范跨域请求和跨域攻击跨域请求是指在Web应用中,如果一个请求的源和目标位于不同的域名下,浏览器会根据同源策略(Same-Origin Policy)限制请求的发送和响应。同源策略要求请求的协议、域名和端口必须完全相同,否则浏览器会阻止该请求的发送。这种限制能够防止恶意网站通过浏览器发送跨域请求获取用户的敏感信息。 为了解决跨域请求的问题,可以使用CSR机制。CSR机制允许Web应用向另一个域名发送请求,并获取响应。在CSR机制中,Web应用通过在请求头中添加一些安全标记(如Origin header),告知服务器请求的来源。服务器在接收到请求后,会检查Origin header的值,然后根据策略决定是否允许跨域请求。 另外,跨域攻击也是一种常见的安全威胁,如跨站脚本攻击(Cross-Site Scripting,XSS)、跨站请求伪造(Cross-Site Request Forgery,CSRF)等。这些攻击利用了Web应用对跨域请求的信任,将恶意代码或请求发送到目标网站,以获取用户的敏感信息或执行恶意操作。 CSR机制可以有效防止跨域请求的产生,并提供一定程度的安全保护。通过限制跨域请求的访问,Web应用能够更好地保护用户的数据安全和隐私,并防范跨域攻击。然而,为了进一步加强安全性,开发者还应该采取其他安全措施,如输入验证、输出编码、会话管理等,以全面保护Web应用的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值