Anti-CSRF and AJAX

最新推荐文章于 2024-05-27 09:45:00 发布
最新推荐文章于 2024-05-27 09:45:00 发布
阅读量431 收藏
点赞数
分类专栏: Ajax 
Anti-CSRF and AJAX
The form token can be a problem for AJAX requests, because an AJAX request might send JSON data, not HTML form data. One solution is to send the tokens in a custom HTTP header. The following code uses Razor syntax to generate the tokens, and then adds the tokens to an AJAX request. The tokens are generated at the server by calling AntiForgery.GetTokens.

HTML

Copy
<script>
    @functions{
        public string TokenHeaderValue()
        {
            string cookieToken, formToken;
            AntiForgery.GetTokens(null, out cookieToken, out formToken);
            return cookieToken + ":" + formToken;                
        }
    }

    $.ajax("api/values", {
        type: "post",
        contentType: "application/json",
        data: {  }, // JSON data goes here
        dataType: "json",
        headers: {
            'RequestVerificationToken': '@TokenHeaderValue()'
        }
    });
</script>
When you process the request, extract the tokens from the request header. Then call the AntiForgery.Validate method to validate the tokens. The Validate method throws an exception if the tokens are not valid.

C#

Copy
void ValidateRequestHeader(HttpRequestMessage request)
{
    string cookieToken = "";
    string formToken = "";

    IEnumerable<string> tokenHeaders;
    if (request.Headers.TryGetValues("RequestVerificationToken", out tokenHeaders))
    {
        string[] tokens = tokenHeaders.First().Split(':');
        if (tokens.Length == 2)
        {
            cookieToken = tokens[0].Trim();
            formToken = tokens[1].Trim();
        }
    }
    AntiForgery.Validate(cookieToken, formToken);
}

 

Bill11YAng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB项目之 Token防止表单重复 anti csrf攻击
南窗寄傲琴书消忧的博客
04-19 7085
Token的作用 防止表单重复提交 防止CSRF攻击 用于签名验证 简单来讲,Token的主要作用就是验证,以上三个其实核心都是验证,相信接触到Token的人,对Token验证都不陌生了,不管是在支付的时候用的Token,还是微信用的,或者是网站请求时候用的,简单说Token(口令,令牌)就是用来验证的。为什么使用Token以前做的是一些小项目,也没有谁会来攻击你,也就没有注意到一些问题,今天看见很
next-csrf:Next.js的CSRF缓解
05-14
CSRF_SECRET // Long, randomly-generated, unique, and unpredictable value } export const { csrf , csrfToken } = nextCsrf ( options ) ; 初始化nextCsrf ,它将返回中间件和有效的签名CSRF令牌。
anti-csrf, 全功能反CSRF库.zip
09-18
anti-csrf, 全功能反CSRF库 反csrf库 动机没有任何好的会话来支持CSRF保护库。 我们的意思是:CSRF令牌可以限制为以下任何或者全部:特定会话特定的HTTP URI特定的IP地址( 可选)可以存储多个CSRF令牌CSR
anti-csrf:功能齐全的反CSRF
04-29
CSRF库 动机 没有好的会话驱动的CSRF预防库。 好的,我们的意思是: 可以将CSRF令牌限制为以下任意一项或全部: 一个特定的会议 特定的HTTP URI 特定的IP地址(可选) 可以存储多个CSRF令牌 CSRF令牌在使用一次后失效 会话数据中存储的令牌数量上限在我们的实现中,最早的被删除 警告-请勿在所有$_SESSION数据都存储在客户端的cookie中的任何项目中使用。 这将快速运行HTTP cookie的最大4KB存储空间。 在任何项目中使用 请参阅autoload.php以获取SPL自动加载器。 与Twig模板一起使用 首先,添加一个像这样的过滤器: use \ ParagonIE \ AntiCSRF \ AntiCSRF ; $ twigEnv -> addFunction ( new \ Twig_SimpleFunction (
【 安全】什么是CSRF攻击?如何避免?开发的时候怎么预防?
最新发布
m0_61869253的博客
05-27 259
CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网站的恶意利用,也被称为 one-click attack或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF跨站点请求伪造(Cross—Site Request Forgery) 跟XSS攻击一样,存在巨大的危害性。
程序猿必读-防范CSRF跨站请求伪造
weixin_34232617的博客
02-27 236
CSRF(Cross-site request forgery,中文为跨站请求伪造)是一种利用网站可信用户的权限去执行未授权的命令的一种恶意攻击。通过伪装可信用户的请求来利用信任该用户的网站,这种攻击方式虽然不是很流行,但是却难以防范,其危害也不比其他安全漏洞小。 本文将简要介绍CSRF产生的原因以及利用方式,然后对如何避免这种攻击方式...
CSRF的攻击与防御
嚴 帅的博客
04-22 279
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,修改密码,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 攻击原理: 1. 用户打开...
CSRF:ring-csrf示例
01-28
二是通过`X-CSRF-TOKEN` HTTP头发送。`ring-csrf`库提供方便的函数如`ring-csrf/token`,可以在模板渲染时插入令牌。 4. **例外处理**:当CSRF验证失败时,`ring-csrf/protect`中间件可以配置为返回特定的HTTP错误...
No-CSRF-crx插件
04-02
语言:English 阻止cookie作为客户端发送的横向原点。 跨站点请求伪造是浏览网页时的一个主要问题。... 此扩展是开源的,源代码在https://github.com/brandonio21/no-csrf中查看 此扩展基于AVLIDIENBRUNN 的类似扩展
ajax csrf
weixin_30399797的博客
02-09 105
data 里加 csrfmiddlewaretoken:$("[name='csrfmiddlewaretoken']").val(),还要再 form表单里加{% csrf_token %}   或者 如下 ,反正一定要加 <div class="buryit action"> <span class="burynum" id="bury_c...
切记ajax中要带上AntiForgeryToken防止CSRF攻击
12-11
经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击 在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。 Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和 input 中。 我们在ajax post中也带上AntiForgeryToken @model WebApplication1.Controllers.Person @{ ViewBag.Title = "Index"; } <h2>Index</h2> <form id="form1"> <div c
anticsrfCSRF预防库的示例用法
02-02
反抗 CSRF预防库的示例用法
CSRFAJAX
qq_40229790的博客
01-05 159
CSRFAJAX
Django中使用Ajax时使用CSRF保护
silent_missile的博客
11-05 826
Django中使用Ajax时使用CSRF保护需要服务器设置CSRF的相关选项。并且在客户端读取特定的信息,然后采用特定的格式发送给服务器才能正确处理。
ajax可以csrf,如何在表单的AJAX发布请求中传递CSRF令牌?
weixin_39644139的博客
08-05 451
小编典典好的,经过几个小时的努力,并尝试解密Play上经常出现的主题上下文文档不足的问题,我明白了。因此,从他们的文档中:为了对非浏览器请求提供简单保护,“播放”仅检查标头中包含Cookie的请求。如果使用AJAX发出请求,则可以将CSRF令牌放在HTML页面中,然后使用Csrf-Token标题将其添加到请求中。然后没有代码或示例。谢谢玩。非常具有描述性。无论如何,这是如何:在你的view.htm...
ajax可以csrf,ajax处理csrf的三种方式
weixin_39530509的博客
08-05 401
方式一:$.post({url: '/get_result/',data: {value0: $('#v1').val(),value1: $('#v2').val(),csrfmiddlewaretoken: '{{ csrf_token }}'},success: function (data) {if (data) {$('#v3').val(data);swal("操作成功!", "成功算...
csrf攻击ajax,六十六:CSRF攻击与防御之CSRF防御之ajax防御和ajax封装
weixin_39946429的博客
08-06 200
app里面还是要绑定CSRFProtectfrom flask_wtf import CSRFProtect # flask_wtf 已经提供CSRF的防御手段CSRFProtect(app) # 绑定app登录页的js$(function () {$(‘#submit‘).click(function (event) {event.preventDefault(); // 阻止默认form提...
CSRF ajax 的一些设置
oqqLai123456的博客
03-21 886
spring security 4.x 之后默认开启csrf保护,因此 POST, PUT or DELETE 等基本请求都要求附带服务器端的令牌请求才会被服务器接受,因此,如果你的POST, PUT or DELETE 等请求如果没有携带服务器令牌,你将会得到一个403错误"Invalid CSRF Token 'null' was found on the request parameter '
Anti-CSRF token
09-24
Anti-CSRF token(跨站请求伪造防护令牌)是一种用于保护网站免受跨站请求伪造(CSRF)攻击的安全机制。它通过在用户访问网站时生成一个唯一的令牌,并将该令牌嵌入到每个表单或请求中。在提交表单或请求时,服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值