ajax跨站请求伪造

最新推荐文章于 2022-08-09 09:44:48 发布
最新推荐文章于 2022-08-09 09:44:48 发布
阅读量200 收藏 1
点赞数
文章标签: 前端 json ViewUI
原文链接:http://www.cnblogs.com/52-qq/p/7834395.html
版权

用ajax提交数据到后台:

{#<!DOCTYPE html>#}
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="/static/jquery-3.2.1.min.js"></script>
    <style>
        .sp{
            color: red;
        }
    </style>
</head>
<body>
<p>姓名:<input type="text"></p>
<p>密码:<input type="password"></p>
<p>
    <button class="sub">提交</button><span class="sp"></span>
</p>
<script>
    function foo() {
            $(".sp").html("");
        }
    $(".sub").click(function () {
        $.ajax({
            url: "/demo_ajax/",
            type: "POST",
            data: {
                username: $(":text").val(),
                password: $(":password").val()
            },
            success: function (data) {
                var data = JSON.parse(data);
                if (!data["flag"]){
                    $(".sp").html("用户名或密码错误"),
                    setTimeout(foo,3000)
                }
            }
        })
    })
</script>
</body>
</html>

 前端采取这种方式提交会报forbidden的错误是因为没有加csrf_token,可是这个不是采用form表单的方式提交的:

怎么解决这种问题呢?一般来说解决这种问题的办法有三种,下边就说一下这三种方式都怎么用:

方式一:

在提交ajax请求的时候给他事先设置一个值:
function foo() {
            $(".sp").html("");
        }
    $(".sub").click(function () {
#######################################
        $.ajaxSetup({
            data: {csrfmiddlewaretoken: '{{ csrf_token }}'}
        });
#######################################
        $.ajax({
            url: "/demo_ajax/",
            type: "POST",
            data: {
                username: $(":text").val(),
                password: $(":password").val()
            },
            success: function (data) {
                var data = JSON.parse(data);
                if (!data["flag"]){
                    $(".sp").html("用户名或密码错误"),
                    setTimeout(foo,3000)
                }
            }
        })
    })

方式二:

body部分:
<form action="">
{% csrf_token %}
<p>姓名:<input type="text"></p>
<p>密码:<input type="password"></p>
</form>
<p>
    <button class="sub">提交</button><span class="sp"></span>
</p>
button要写在外边,否则会默认以get提交
----------------------------------------------------------------------------------------
这里是js代码:
    function foo() {
        $(".sp").html("");
    }
    $(".sub").click(function () {
        $.ajax({
            url: "/demo_ajax/",
            type: "POST",
            data: {
                username: $(":text").val(),
                password: $(":password").val(),
                csrfmiddlewaretoken:$("[name='csrfmiddlewaretoken']").val(),
            },
            success: function (data) {
                var data = JSON.parse(data);
                if (!data["flag"]){
                    $(".sp").html("用户名或密码错误"),
                    setTimeout(foo,3000)
                }
            }
        })
    })

方式三:

        function foo() {
        $(".sp").html("");
    }
    $(".sub").click(function () {
        $.ajax({
            url: "/demo_ajax/",
            type: "POST",
            headers:{"X-CSRFToken":$.cookie('csrftoken')},
            data: {
                username: $(":text").val(),
                password: $(":password").val()
            },
            success: function (data) {
                var data = JSON.parse(data);
                if (!data["flag"]){
                    $(".sp").html("用户名或密码错误"),
                    setTimeout(foo,3000)
                }
            }
        })
    })

方式三可以在form表单提交,也可以不在form表单中提交:

转载于:https://www.cnblogs.com/52-qq/p/7834395.html

weixin_30664539
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AJAX请求及解决跨域问题
m0_59092234的博客
07-30 698
AJAX其实就是异步的js和xml通过ajax可以在浏览器中发送异步请求。最大优势无刷新获取数据优点1.可以无需刷新页面与服务器进行通信2.允许根据用户事件更新部分页面内容当然也存在其缺点问题比如跨域问题等!...
$.ajax使用总结(二):伪造IP地址
甘焕的博客
06-20 6772
在JAVA与PHP的程序中,为了保证IP的正确性,经常采用如下的方法获取浏览器端的IP地址,代码如下:String ip = request.getHeader("x-forwarded-for"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("
ajax fake ip,假Ajax请求(Fake Ajax request)
weixin_29111277的博客
08-05 418
为了检查提交Ajax请求的,当用户提交一个表单,我实现使用茉莉(1)以下的试验。该测试顺利通过,但看着JavaScript控制台我得到以下错误500 (Internal Server Error) 。因为我不关心服务器的响应,我的问题是:1)如果我或者我应该不关心这个错误。2)将是更好假Ajax请求,以避免Internal Server Error ? 如果是,如何在我的背景?(1)define...
django中的Ajax请求中的跨站请求伪造
hao_sir
08-13 143
对于Ajax请求来说,将CSRF令牌作为POST数据传递到每个POST请求中稍显不便。因此,Django允许利用CSRF令牌值在Ajax请求中设置自定义X-CSRFToken头。这可设置jQuery或者其他JavaScript库,并自动在每个请求中设定X-CSRFToken头。 为了在所有请求中包含令牌,需要执行下列各项步骤: (1)从csrftoken Cookie中检索CSRF令牌,该令牌在CSRF处于活动状态时被设置。 (2)利用X-CSRFToken头在Ajax请求中发送该令牌。 ...
Ajax跨域请求
weixin_50163576的博客
11-24 1629
跨域:当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,此时就被称为“跨域请求”,而浏览器的“同源策略”此时将阻止了Ajax的跨域访问。 ajax同源策略的限制,会跨域拦截,解决方案: 1.服务端接口设置允许访问的cors头(cross origin resource share),CORS跨域资源共享(Cross Origin Resource Sharing) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许
Ajax跨站请求伪造漏洞
03-22
Ajax跨站请求伪造漏洞,近日,我们的网站请微软的工程师作了一次漏洞扫描,扫描结果中有两个“跨站请求伪造漏洞”。通过查资料,我做了一番研究,包括此漏洞的入侵条件,被攻击后的损失以及防范措施等。
cross-application-csrf-prevention:正确执行跨站请求伪造预防
05-15
本文档概述了在Rails内置的跨站请求伪造预防机制中发现的问题,并包含可缓解上述问题的反CSRF解决方案的设计规范。 动机 在调查CSRF令牌相关的错误时,我们发现Rails中实现的CSRF预防机制存在一些问题。 Rails ...
DneustadtCsrfCookieBundle:Symfony捆绑包,可为客户端应用程序提供跨站请求伪造(CSRF或XSRF)保护
02-04
该捆绑包为客户端应用程序提供(CSRF或XSRF)保护,该客户端应用程序通过XHR请求由Symfony提供的端点。 在很大程度上受到影响和启发 要求 Symfony> = 5.x 工作方式 为了存储CSRF令牌客户端,可以通过一个或多个预定...
csrf:gorillacsrf为Go Web应用程序和服务提供跨站请求伪造(CSRF)预防中间件:locked:
02-06
大猩猩 gorilla / csrf是HTTP... 这包括: csrf.Protect中间件/处理程序在连接到路由器或子路由器的路由上提供CSRF保护。... ...... gorilla / csrf旨在与任何Go Web框架一起使用,包括: 工具包Go的内置包-查看...以及围绕G
基于CORS实现WebApi Ajax 跨域请求解决方法
12-08
在默认情况下,为了防止CSRF跨站伪造攻击(或者是 javascript的同源策略(Same-Origin Policy)),一个网页从另外一个域获取数据时就会收到限制。有一些方法可以突破这个限制,那就是大家熟知的JSONP, 当然这只是...
ajax跨站请求方案
有时间记录一点点
01-24 521
ajax跨站请求方案 1:概述 跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的HTTP请求。出于安全考虑,浏览器会限制脚本中发起的跨站请求。比如,使用XMLHttpRequest对象发起 HTTP 请求就必须遵守同源策略。   2:方案 W3C的Web应用工作组推荐了一种新的机制,即跨源资源共享(Cros...
AJAX跨站请求
qq_42960944的博客
01-19 673
AJAX 简单介绍 全程:Asynchronous JavaScript and XML,意思就是用JavaScript执行异步网络请求。 Web的运作原理:一次HTTP请求对应一个页面。 如果要让用户留在当前页面中,同时发出新的HTTP请求,就必须用JavaScript发送这个新请求,接收到数据后,再用JavaScript更新页面,这样一来,用户就感觉自己仍然停留在当前页面,但是数据却可以不断地更新。用JavaScript写一个完整的AJAX代码并不复杂,但是需要注意:AJAX请求是异步执行的,也就是说,
跨站请求伪造(CSRF)攻击是什么?如何防御?
fe_watermelon的博客
08-09 2190
我是前端西瓜哥,今天来学习 CSRF。CSRF,跨站请求伪造,英文全称为 Cross-site request forgery。也可称为 XSRF。CSRF 攻击。当我们成功登录一个网站时,其实浏览器在这个网站域名下保存好了,通常通过 cookies 保存。登录后,我们的在当前域名下发起请求就会带上 cookie,服务器就通过它来确定你对应哪个用户,允许你去执行一些涉及到个人隐私的操作。浏览器的一个机制:访问了一个 url,会带上对应域名的 Cookies,这就给了 CSRF 可乘之机。...
伪造ajax请求,ajax向Django前后端提交请求和CSRF跨站请求伪造
weixin_36252784的博客
08-06 105
1.ajax登录示例urls.pyfrom django.conf.urls importurlfrom django.contrib importadminfrom app01 importviewsurlpatterns=[url(r'^admin/', admin.site.urls),url(r'^login_ajax/$', views.login_ajax, name='login_a...
ajax解决csrf的跨站请求伪造
weixin_30451709的博客
10-12 231
方式一: 1 $.ajaxSetup({ 2 data: {csrfmiddlewaretoken: '{{ csrf_token }}' }, 3 }); 方式二: 1 <form> 2 {% csrf_token %} 3 </form><br><br><br>$.ajax({<br&...
如何解决跨站请求伪造
热门推荐
沉底的石头
11-21 3万+
IBM appscan扫描漏洞--跨站请求伪造 appscan修订建议: 如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie  的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求。 攻击者无法猜测这个参数的原因是应用于 cookie  的“同源策
Http跨站请求伪造解决方案
程序猿开发日志【学习永无止境】
08-01 9200
1.跨站请求伪造 首先,什么是跨站请求伪造跨站请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式。 说的白话一点就是,别的站点伪造你的请求,最可怕的是你还没有察觉并且接收了。听起来确实比较危险,下面有个经典的实例,了解一下跨站请求伪造到底是怎么是实现的,知己知彼。 受害者:Bob 黑客:Mal 银行:bank bob在银行
Cookie 的跨站请求伪造(CSRF)攻击 如何用ajax
最新发布
06-02
在使用 Ajax 发送请求时,也需要考虑防止 CSRF 攻击。下面是一些防御 CSRF 攻击的方法: 1. 在发送请求时,在请求头中添加一个自定义的 Token,服务器在接收到请求时需要验证该 Token 是否合法。攻击者无法伪造该 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值