Web高级知识-跨域&XSS&CSRF解决方案

最新推荐文章于 2024-01-08 09:48:05 发布
最新推荐文章于 2024-01-08 09:48:05 发布
阅读量813 收藏
点赞数
分类专栏: JavaWeb基础 文章标签: 跨域问题的解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40241957/article/details/82809649
版权

Web高级知识-跨域&XSS&CSRF解决方案
http长连接与短连接

HTTP协议与TCP/IP协议的关系

HTTP的长连接和短连接本质上是TCP长连接和短连接。HTTP属于应用层协议,在传输层使用TCP协议,在网络层使用IP协议。IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,使在网络上的另一端收到发端发出的所有包,并且顺序与发出顺序一致。TCP有可靠,面向连接的特点。

跨域实战解决方案

跨域原因产生:在当前域名请求网站中,默认不允许通过ajax请求发送其他域名。,说白了就是对ajax有限制
服务器端代码

@WebServlet("/FromServlet")
public class FromServlet extends HttpServlet {
	@Override
	protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		String userName = req.getParameter("userName");
		JSONObject jsonObject = new JSONObject();
		jsonObject.put("userName", userName);
		resp.getWriter().println(jsonObject.toJSONString());
	}
}

前端代码

<%@ page language="java" contentType="text/html; charset=UTF-8"
	pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>B网站访问</title>
</head>
<script type="text/javascript"
	src="http://www.itmayiedu.com/static/common/jquery-1.7.2.min.js?t=2017-07-27"></script>
<script type="text/javascript">
	$(document).ready(function() {
		$.ajax({
			type : "GET",
			async : false,
			url : "http://a.a.com/a/FromServlet?userName=644064",
			dataType : "json",
			success : function(data) {
				alert(data["userName"]);
			},
			error : function() {
				alert('fail');
			}
		});
		</script>
<body>
	<img alt="" src="http://a.a.com/a/imgs/log.png">
</body>
</html></script>
<body>
	<img alt="" src="http://a.a.com/a/imgs/log.png">
</body>
</html>

	});

XMLHttpRequest cannot load 跨域问题解决办法

1.使用后台response添加header
后台response添加header,response.setHeader(“Access-Control-Allow-Origin”, “*”); 支持所有网站

2.使用JSONP
前端代码:

$.ajax({
			type : "POST",
			async : false,
			url : "http://a.a.com/a/FromUserServlet?userName=张三",
			dataType : "jsonp",//数据类型为jsonp  
			jsonp : "jsonpCallback",//服务端用于接收callback调用的function名的参数  
			success : function(data) {
				alert(data.result);
			},
			error : function() {
				alert('fail');
			}
		});

jquery 中jsonp的实现原理

在同源策略下,在某个服务器下的页面是无法获取到该服务器以外的数据的,即一般的ajax是不能进行跨域请求的。但 img、iframe 、script等标签是个例外,这些标签可以通过src属性请求到其他服务器上的数据。利用 script标签的开放策略,我们可以实现跨域请求数据,当然这需要服务器端的配合。 Jquery中ajax 的核心是通过 XmlHttpRequest获取非本页内容,而jsonp的核心则是动态添加

$.ajax({
url: ‘http://192.168.1.114/yii/demos/test.php’, //不同的域
type: ‘GET’, // jsonp模式只有GET 是合法的
data: {
‘action’: ‘aaron’
},
dataType: ‘jsonp’, // 数据类型
jsonp: ‘backfunc’, // 指定回调函数名,与服务器端接收的一致,并回传回来
})

其实jquery 内部会转化成
http://192.168.1.114/yii/demos/test.php?backfunc=jQuery2030038573939353227615_1402643146875&action=aaron
然后动态加载

然后后端就会执行backfunc(传递参数 ),把数据通过实参的形式发送出去。
  使用JSONP 模式来请求数据的整个流程:客户端发送一个请求,规定一个可执行的函数名(这里就是 jQuery做了封装的处理,自动帮你生成回调函数并把数据取出来供success属性方法来调用,而不是传递的一个回调句柄),服务器端接受了这个 backfunc函数名,然后把数据通过实参的形式发送出去

(在jquery 源码中, jsonp的实现方式是动态添加

后端代码:

@WebServlet("/FromUserServlet")
public class FromUserServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
	doPost(req, resp);
}

@Override
protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
	resp.setCharacterEncoding("UTF-8");
	// resp.setHeader("Access-Control-Allow-Origin", "*");
	 String userName = req.getParameter("userName");
	 String userAge = req.getParameter("userAge");
	 System.out.println(userName + "----" + userAge+"---"+req.getMethod());
	// JSONObject JSONObject1 = new JSONObject();
	// JSONObject1.put("success", "添加成功!");
	// resp.getWriter().write("callbackparam(" + JSONObject1.toJSONString()
	// + ")");

	try {
		resp.setContentType("text/plain");
		resp.setHeader("Pragma", "No-cache");
		resp.setHeader("Cache-Control", "no-cache");
		resp.setDateHeader("Expires", 0);
		PrintWriter out = resp.getWriter();
		JSONObject resultJSON = new JSONObject(); // 根据需要拼装json
		resultJSON.put("result", "content");
		String jsonpCallback = req.getParameter("jsonpCallback");// 客户端请求参数
		out.println(jsonpCallback + "(" + resultJSON.toJSONString() + ")");// 返回jsonp格式数据
		out.flush();
		out.close();
	} catch (Exception e) {
		// TODO: handle exception
	}
}

JSONP的优缺点:
JSONP只支持get请求不支持psot请求

3. 后台Http请求转发

使用HttpClinet转发进行转发

4.使用接口网关

使用nginx转发。

5.使用SpringCloud网关

Java全栈研发大联盟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XSS和请求
qq_48829044的博客
06-19 1065
XSS与同源策略
XSS攻击讲义
08-19
网络安全 XSS攻击 JS注入 互联网安全
XSS攻击在web项目中的防范,基于antisamy技术
07-10
介绍了XSS攻击在web项目中的防范,基于antisamy技术。
Web知识-&XSS&CSRF
HMing的博客
03-10 150
http长连接与短连接 HTTP协议与TCP/IP协议的关系 HTTP的长连接和短连接本质上是TCP长连接和短连接。HTTP属于应用层协议,在传输层使用TCP协议,在网络层使用IP协议。IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,使在网络上的另一端收到发端发出的所有包,并且顺序与发出顺序一致。TCP有可靠,面向连接的特点。 如何理解HTTP协议是无状态的...
xss和csrf攻击及解决方案
weixin_30877493的博客
07-17 151
  cookie会自动携带上,而token需要设置header才可带上; xss: 劫持cookie或者localStorage,从而伪造用户身份相关信息。前端层面token会存在哪儿?不外乎cookie localStorage sessionStorage,这些东西都是通过js代码获取到的。解决方案:过滤标签<>,不信任用户输入, 对用户身份等cookie层面的信息进行ht...
XSS(脚本攻击)
m0_52244931的博客
10-23 3932
XSS(脚本go攻击
Web高级知识-&XSS;&CSRF;解决方案
11-26
http长连接与短连接 HTTP协议与TCP/IP协议的关系 HTTP的长连接和短连接本质上是TCP长连接和短连接。HTTP属于应用层协议,在传输层使用TCP协议,在网络层使用IP协议。IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,使在网络上的另一端收到发端发出的所有包,并且顺序与发出顺序一致。TCP有可靠,面向连接的特点。 如何理解HTTP协议是无状态的 HTTP协议是无状态的,指的是协议对于事务处理没有记忆能力,服务器不知道客户端是什么状态。也就是说,打开一个服务器上的网页和你之前打开这个服务器上的网页之间没有任何联系。HTTP是一个无状态的面向连接的协议,无状态不代表HTTP不能保持TCP连接,更不能代表HTTP使用的是UDP协议(无连接)。 实战解决方案 原因产生:在当前名请求网站中,默认不允许通过ajax请求发送其他名。
前端常见解决方案(全)
08-29
同源策略是一种安全机制,由Netscape公司在1995年引入,目的是防止恶意脚本通过不同源的资源进行恶意操作,如XSS(站脚本攻击)和CSRF(站请求伪造)。同源策略规定,只有当“协议+名+端口”完全相同的两个...
WEB安全-杂类知识.pptx
08-24
然而,站脚本攻击(XSS)和站请求伪造(CSRF)等威胁可以绕过同源策略,因此对Web应用程序进行严格的安全审查和防御措施是必要的。 综上所述,Web安全的杂类知识涵盖广泛,包括Webshell的检测与防御、NTFS文件...
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
【网络安全自学篇】八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结 本文主要介绍了网络安全领中常见的几种攻击手段,包括CSS注入、越权访问、csrf-token窃取以及XSS站脚本攻击,并通过WHUCTF比赛中的...
web完美解决方式
06-15
开放访问可能导致XSS(站脚本攻击)和CSRF(站请求伪造)等安全问题,因此在设置策略时,需要权衡便利性和安全性,尽可能限制允许的来源和请求类型。 总结,解决Web问题需要根据项目的具体需求和...
Xss访问漏洞过滤器
11-01
门户网站解决Xss访问漏洞,一个拦截器,拦截在你的网站里恶意添加广告等信息
web】XSS脚本攻击
m0_45406092的博客
02-25 651
文章目录1. 概念2. Reflected XSS3. Stored XSS4. DOM-XSS5. XSS危害和预防 1. 概念 XSS:全称是脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将站脚本攻击缩写为XSS。 XSS攻击分为三种,分别是: Reflected XSS(基于反射的XSS攻击) Stored XSS(基于存储的XSS攻击) DOM-based or local XSS(基于DOM或
网络安全杂谈- CORS/CSRF/XSS
最新发布
wuli1024的博客
01-08 1461
出于浏览器的同源策略限制,浏览器会拒绝请求。同源: 名、端口、协议都相同,称为同源。
CSRF(请求伪造)、XSS(脚本攻击)
薛小科的博客
06-04 1322
推荐: 站脚本功攻击,xss,一个简单的例子让你知道什么是xss攻击 CSRF攻击与防御 什么是,有什么攻击,如何防止攻击
也谈谈同源策略和问题
weixin_30361753的博客
06-03 131
也谈谈同源策略和问题 1 同源策略 所谓同源策略,指的是浏览器对不同源的脚本或者文本的访问方式进行的限制。比如源a的js不能读取或设置引入的源b的元素属性。 那么先定义下什么是同源,所谓同源,就是指两个页面具有相同的协议,主机(也常说名),端口,三个要素缺一不可。 可以看下面的几个示例来更加清楚的了解一下同源的概念: URL1URL2说...
攻击XSS防御
无界编程
09-26 4958
Java的view层可以使用EL和JSTL后端的ModelAndView增加mv.addObject("xss", "alert(\"test\")");View页面${xss}  c:out 有个缺省属性escapeXML="true" 将会对特色字符如 ‘‘ ‘&‘ 等进行转义,而EL表达式则不会。
XSS攻击和SQL注入解决方案
不积跬步无以至千里
01-31 3533
1.配置web.xml的filter public class XSSFilter implements Filter { public void init(FilterConfig filterConfig) throws ServletException { } public void doFilter(ServletRequest request, ServletResp
Java web解决CSRF攻击漏洞
goodmentc的专栏
12-11 1772
一、概述 简单介绍一下csrf攻击漏洞。就是你的网站cookie和session信息可以被其他网站盗用,用于非法请求。 应用开发环境:IDEA+JDK1.8 开发框架:Spring boot +thymeleaf+shiro 测试:第三方安全公司渗透测试。 二、解决方法 这里只讲主动防御方法。 总体思路是:用户登录时,服务端分配一个随机token,存储到session里。用户进行其他请求时,从session里取出这个token放到请求头headers里,服务端收到请求时,从请求头里取出token,和sess
HTTP长连接与短连接:、XSS和CSRF解决方案解析
本文将深入探讨Web开发中的高级概念,包括HTTP的长连接与短连接、HTTP协议的无状态性以及、XSS和CSRF等安全问题的解决方案。 首先,HTTP协议是基于TCP/IP协议栈的应用层协议,它利用TCP提供可靠性,IP负责网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Java全栈研发大联盟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值