CORS和CSRF

最新推荐文章于 2024-01-08 09:48:05 发布
最新推荐文章于 2024-01-08 09:48:05 发布
阅读量239 收藏
点赞数
文章标签: java 后端 前端 ViewUI
原文链接:http://www.cnblogs.com/Infernal/p/11282443.html
版权

CORS和CSRF

 

什么是CORS?
CORS是一个W3C标准,全称是"跨域资源共享",他允许浏览器向夸源服务器,发出XMLHTTPRequest请求,从而克服了AJAX只能同源使用的限制.

 

什么是CSRF?
名为跨站请求伪造,指攻击者盗用了你的身份,以你的名义发送恶意请求,CSRF主流防御方式是在后端生成表单的时候生成遗传随机token,内置到表单里成为一个字段,同时,将此串token置入session中.每次表单提交到后端时都会检查这两个值是否一致,以此来判断此次表单提交是否是可信的.提交过一次之后,如果这个页面没有生成CSRF token,那么token将会被清空,如果有新的需求,那么token会被更新.
攻击者可以伪造POST表单提交,但是他没有后端生成的内置于表单的token,session中没有token都无济于事.

 

 

 

如何去解决CSRF跨域请求伪造问题?

防止CSRF攻击的步骤

  1. 在客户端向后端服务器请求页面数据时, 后端会在响应的token中设置csrf_token的值
  2. 在前端的From表单中也添加了一个隐藏的字段, 这个字段的值也是csrf_token
  3. 在用户点击提交的时候, 会带上表单中的csrf_token和cookie中的csrf_token一起发送到后端服务器
  4. 后端服务器接收前端发送过来的请求
    1. 从cookie中取出csrf_token
    2. 从From表单中取出隐藏的csrf_token值
    3. 对这两个token值进行对比
  5. 如果比对之后这连个值一样, 则表示这个是正常的请求, 如果对比之后发现这两个值不一样, 则说明这个是不正常的请求, 服务器端不需要做处理

   

 

转载于:https://www.cnblogs.com/Infernal/p/11282443.html

weixin_30627341
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
secure-rest-angular-tut:REST查询的AngularJS客户端,用于管理身份验证,CORSCSRF。 出于实验目的,或开始新项目!
05-08
REST查询的AngularJS客户端,用于管理身份验证,CORSCSRF。 出于实验目的,或开始新项目! 出于学习目的编写了此代码后,我没有包括grunt文件。 另一方面,可以使用您喜欢的IDE将Web应用程序轻松部署在服务器上...
CORSCSRF--学习笔记
weixin_45951911的博客
12-04 3934
一、CORSCSRF 区别 两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍: CORS : Cross Origin Resourse-Sharing 跨站资源共享 CSRF : Cross-Site Request Forgery 跨站请求伪造 XSS : Cross Site Scrit 跨站脚本攻击(为与 CSS 区别,所以在安全领域叫 XSS) 二、CORS 1、概念 跨来源资源共享(CORS),亦译为跨域资源共享,是一份浏览器技术的规范,提供了 Web服
CORSCSRF
fitzleopard的博客
06-16 2994
本文首发于我的Github博客 本篇文章介绍了CORSCSRF的概念(作者前几天在和带佬们聊天的时候把两个概念搞混了,所以才想要了解),简单来说: CORS(Cross Origin Resource Sharing)跨域资源分享 是一种机制,通过在HTTP响应头中加入特定字段限制不同域的资源请求 CSRF(Cross Site Request Forgery)跨站请求伪造 是一种web攻击手段,通过向服务器发送伪造请求,进行恶意行为的攻击手段 CORS(Cross Origin Resource
web前后端漏洞分析与防御(二)-CSRF
空默寒的博客-学习和积累
07-29 488
跨站请求伪造攻击CSRF(Cross Site Request Forgy) SRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:        攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统...
网络安全杂谈- CORS/CSRF/XSS
最新发布
wuli1024的博客
01-08 1537
出于浏览器的同源策略限制,浏览器会拒绝跨域请求。同源: 域名、端口、协议都相同,称为同源。
不同版本浏览器前端标准兼容性对照表以及CORS解决跨域和CSRF安全问题解决方案.docx
10-26
本文主要讨论了浏览器前端标准的兼容性对照表以及如何利用CORS解决跨域和CSRF安全问题。 首先,不同版本浏览器的前端标准兼容性差异显著,因为各浏览器厂商在不同时间点实现了不同的Web标准。例如,CORS(Cross-...
跨域资源共享 CORS 详解
09-02
CORS的核心在于浏览器和服务器之间的通信。当浏览器发现AJAX请求跨域时,会自动添加额外的头信息,如`Origin`字段,指示请求的来源。如果服务器允许跨域访问,它会在响应头中添加`Access-Control-Allow-Origin`字段...
django 取消csrf限制的实例
09-17
本文将详细介绍如何在Django中取消CSRF限制,并探讨在前后端分离项目中处理CSRF Token和跨域问题的方法。 首先,要取消Django中的CSRF限制,你可以使用`django.views.decorators.csrf.csrf_exempt`装饰器。这是一个...
基于JSP的Java Web项目的CSRF防御示例
01-07
在基于JSP的Java Web项目中,了解如何防御CSRF攻击至关重要,因为这可以保护用户的敏感数据和应用的完整性。 **CSRF攻击原理** CSRF攻击通常发生在用户已登录一个网站并保持会话的情况下,攻击者通过构造恶意链接...
什么是csrfcors?有啥区别?
m0_73302761的博客
07-21 547
本文参考 原文链接:https://blog.csdn.net/weixin_47450807/article/details/123227342跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CORS(Cross-Origin Resource Sharing, 跨源资源共享)当一个请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。因此,要想实现CORS进行跨域需要服务器进行一些设置,同时前端也需要做一些配置和分析。
CSRFCORS:白帽子的最爱
鹅子鱼的博客:很菜但是很好学的小菜鸟
04-23 262
嗨,亲爱的师傅们!你在某个网站登录并留下了你的宝贵信息,然后突然发现你的邮箱被黑客改了!这就是CSRF攻击!学习CSRF还可以帮助我们更好地了解安全性(挖洞!),以便提高自己的技能并找到更多的漏洞(CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。
Django面试题——CSRFCORS的区别
python全栈
08-02 608
1、在用户访问django的可信站点时,django反馈给用户的表单中有一个隐含字段csrftoken,这个值是在服务器端随机生成的,每一次提交表单都会生成不同的值2、当用户提交django的表单时,服务器校验这个表单的csrftoken是否和自己保存的一致,来判断用户的合法性3、当用户被csrf攻击从其他站点发送精心编制的攻击请求时,由于其他站点不可能知道隐藏的csrftoken字段的信息这样在服务器端就会校验失败,攻击被成功防御。...
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 2813
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
CSRFCORS
qq_29454347的博客
08-14 406
CSRF定义 https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF) 主要原因:不合法的CORS请求的结果虽然会被浏览器阻止,但是整个http请求是完成的(且请求带有域的cookie) 举例,一个URL是银行转账操作,参数是金额和需要转账的户头。把这个url放在黑客网站的<img src="">中,虽然黑...
web 跨域问题(SOP/CORS/CSRF
zdplife的专栏
02-18 2604
同源策略 - same origin policy(SOP) 概念:两个网页同源是指这两个网页的协议,域名,端口全部相同 举例来说,http://www.example.com/dir/page.html这个网址,协议是http,域名是www.example.com,端口是80,它的同源情况如下: http://www.example.com/dir2/other.html 同源 ht...
CSRF XSS(XSRF) CORS OPTIONS(HTTP)概念理解
CCyutaotao的博客
10-26 2495
XSSXSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。我们不需要用户输入 HTML 而只想让他们输入纯文本,那么把所有用户输入进行 HTML 转义输出是个不错的做法。似乎很
python 中的 csrf(xsrf: 在 tornado 中) 和 cors
xinxinNoGiveUp的博客
12-26 1589
csrf 跨站请求伪造csrf( cross-site request forgery) 属于一种跨站攻击, 在 tornado 中被称为 xsrf
springsecurity corscsrf
08-18
它也提供了对CORSCSRF的支持。 对于CORS,Spring Security提供了一些配置选项来允许跨域资源共享。你可以通过`cors()`方法来启用CORS支持,并配置允许访问的域、方法和头部。例如,以下配置允许来自任何域的GET和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值