CSRF 令牌 & JavaScript

最新推荐文章于 2024-06-18 17:09:25 发布
最新推荐文章于 2024-06-18 17:09:25 发布
阅读量467 收藏
点赞数
文章标签: javascript json php ViewUI
原文链接:http://www.cnblogs.com/imike/p/10637438.html
版权

当构建由 JavaScript 驱动的应用时,可以方便地让 JavaScript HTTP 函数库发起每一个请求时自动附上 CSRF 令牌。默认情况下, resources/js/bootstrap.js 文件会用 Axios HTTP 函数库注册的 csrf-token meta 标签中的值。如果你不使用这个函数库,你需要手动为你的应用配置此行为。

从bootstrap.js中的以下代码片段可以看出,当使用 Axios HTTP函数库作为请求时,CSRF 令牌会自动传入 X-CSRF-TOKEN 请求头。 如果你不是用 Axios 作为 HTTP 请求库的话(比如用 jQuery),那么就需要你手动配置了。

/**
 * Next we will register the CSRF Token as a common header with Axios so that
 * all outgoing HTTP requests automatically have it attached. This is just
 * a simple convenience so we don't have to attach every token manually.
 */

let token = document.head.querySelector('meta[name="csrf-token"]');

if (token) {
    window.axios.defaults.headers.common['X-CSRF-TOKEN'] = token.content;
} else {
    console.error('CSRF token not found: https://laravel.com/docs/csrf#csrf-x-csrf-token');
}

其中 document.head.querySelector('meta[name="csrf-token"]'); 会读取 <meta name="csrf-token" >的值,所以应该在模板文件里面加上 <meta name="csrf-token" content="{{ csrf_token() }}">标签。

 

值得注意的是:当不是用 Axios 作为 HTTP 请求库的话,比如用 jQuery 那么通过Axios自动附上 CSRF 令牌是无效的,需要我们手动设置headers参数将 CSRF 令牌传递给服务器,如:

 

$.ajax({
	url: "{{ route('post') }}", //处理页
	type:"POST",
	headers: {
	        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
	 },
         dataType: "json",
         data: { title: "标题内容", body: "主要内容"},
         success: function(result,status,xhr){
	       alert("~成功~,返回结果:" + result.message + ",返回状态:"+status+",xhr:"+xhr.responseText + ",status: " + xhr.status + ",responseJSON: " + xhr.responseJSON);
	 },
	error: function(xhr,status,error){
		alert("~失败~, xhr: " + xhr.responseText + ",返回状态:" + status + ",错误:" + error + ",status: " + xhr.status + ",responseJSON: " + xhr.responseJSON);
	}
});

 

转载于:https://www.cnblogs.com/imike/p/10637438.html

weixin_30845171
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
csrf令牌_是否需要CSRF令牌
weixin_26753891的博客
09-06 1282
csrf令牌by: Matt McEachern, Posh Co-founder and CTO 作者:Posh联合创始人兼CTO Matt McEachern CSRF, which stands for Cross-Site Request Forgery, is a common attack vector for vulnerable web applications with pot...
ajax跨域 csrf,如何使用CSRF令牌进行跨域Ajax调用?
weixin_39883906的博客
08-06 359
我在Django应用程序模板中有一个典型的登录表单(它直接使用Bootstrap,而不是通过某个插件): {% csrf_token %}Please sign inLogin:Password:Sign in下面是通过requests module执行远程身份验证的相应视图:^{pr2}${js{Ajax成功的原因是,{csa3}为了其他目的,我可以通过远程Javascript进行一次查询(例如...
【burpsuite安全练兵场-客户端12】跨站点请求伪造CSRF-12个实验(全)
最新发布
heike_Ch的博客
06-18 1100
一、跨站点请求伪造(CSRF)1、简述:2、影响:3、原理:4、构造CSRF攻击实验1:无防御的CSRF漏洞5、利用CSRF6、针对CSRF的常见防御措施二、绕过CSRF令牌验证1、CSRF令牌2、CSRF令牌的验证取决于请求方法实验2:令牌验证取决于请求方法的CSRF3、CSRF令牌的验证取决于令牌是否存在实验3:CSRF,其中令牌验证取决于令牌是否存在4、CSRF令牌未绑定到用户会话实验4:令牌未绑定到用户会话的CSRF5、CSRF令牌绑定到非会话Cookie。
为什么Django要引入CSRF令牌?答:主要是为了防止跨站伪造请求攻击,那么什么是跨站伪造请求攻击呢?
昊虹AI笔记
06-21 303
为什么Django要引入CSRF令牌?答:主要是为了防止跨站伪造请求攻击,那么什么是跨站伪造请求攻击呢?
跨站请求伪造(CSRF)攻击
一颗奋起萌发的种子的博客
03-12 250
跨站请求伪造(CSRF)攻击
jQuery发送csrftoken
qq765222abc的博客
03-26 649
导入jquery.cookie.js 在ajax请求中加入headers:{ “X-CSRFtoken”: $.cookie(“csrftoken”)}
csrfCSRF令牌创建和验证背后的逻辑
02-19
CSRF令牌创建和验证背后的逻辑。 阅读了解更多关于CSRF的信息。 使用此模块可以创建自定义CSRF中间件。 是否正在为使用该模块的最喜欢的框架寻找CSRF框架? 快速/连接: 或 Koa: 或 安装 $ npm install csrf ...
csurf:CSRF令牌中间件
02-04
使用完成 : $ npm install csurfAPI var csurf = require ( 'csurf' )csurf([选项]) 创建用于CSRF令牌创建和验证的中间件。 该中间件添加了一个req.csrfToken()函数以创建一个令牌,该令牌应添加到在隐藏的表单...
koa-csrf-header:检查 HTTP 标头字段中的 CSRF 令牌
05-30
有多种方法可以在整个用户会话中存储 CSRF 令牌。 还有多种方法可以向下游发送 CSRF 令牌。 这个包对所有方法都是不可知的。 默认情况下, ctx.session.csrfToken用于保留令牌。 这是一个使用默认选项的示例。
csrf-xhr:自动将Rails CSRF令牌添加到XMLHttpRequest标头中
05-22
csrf-xhr 自动将Rails CSRF令牌添加到XMLHttpRequest标头中。如何使用在Rails添加到页面的<meta name="csrf-token">之后的任意位置,在[removed] csrf-xhr.js加载。 从现在开始,任何目标URL为您本地来源的...
csrf-login-token:来自登录令牌中间件的CSRF令牌
04-15
使用登录令牌的csurf Node.js 保护...选项csurf函数采用一个可选的options对象,该对象可能包含以下任何键:ignoreMethods 禁用CSRF令牌检查的方法的数组。 默认为['GET', 'HEAD', 'OPTIONS'] 。价值提供中间件将调用的
csrf校验插件-js
05-03
使用该插件可以在使用js向后端提交数据时进行csrf校验
【JS】JS获取cookie里的csrftoken并添加到header里
10相濡以沫
08-18 3816
Django需要csrftoken来进行CSRF的防御 既然是前后端都自己写,肯定不能整@csrf_exempt这样的办法 JS用正则表达式获取cookie var regex = /.*csrftoken=([^;.]*).*$/ ; var xCSRFToken = document.cookie.match(regex) === null ? null : document.cookie.match(regex)[1] cookie的样式 Cookie: sessionid=tc3prqefkjt7
js实现自动添加关注(CSRF
weixin_33717298的博客
06-23 221
注册了都三年多了,一直都只是一个看客,打算以后在博客园混混,希望大家多多帮助。 首先声明一下,本文并没有添加任何自定义js,我并没有恶意,也希望同学们不要滥用,博客园对我们是开放的,我们也要珍惜。 如果感兴趣,您可以访问--->点我<--- 发现CSRF的起因是删除博文:原来在javaeye混过几天,打算把javaeye的文章全部搬过来,通过“博客搬家”功能把原来的...
通过一个故事来介绍CSRF
m0_60571990的博客
12-29 315
通过一个故事来介绍CSRF
X-CSRF-Token
热门推荐
01-24 1万+
Odata服务HTTP测试总是出现烦人的 CSRF token validation failed (for all modifying requests)忽略下图中的报文错误 怀疑是服务器参数的设置问题,临时应急的话可以先针对这个服务把CSRF校验关掉 SICF找到这个服务 增加一个参数 Modifying request的CSRF这样的工作的: 用一个非修改(non-m...
解决Laravel 5.5 header['X-CSRF-TOKEN','Authorization']请求问题
Stein的博客
01-04 6630
1、解决 "CSRF-TOKEN",需要在主模板里更改: In header name="csrf-token" content="{{ csrf_token() }}" /> 2、解决 "X-CSRF-TOKEN",需要在主模板里更改: In header name="csrf-token" content="{{ csrf_token() }}" /> In
跨站点请求伪造 (CSRF):影响、示例和预防
简介
01-12 816
跨站点请求伪造 (CSRF/XSRF),是一个 Web 安全漏洞,可诱使 Web 浏览器执行不需要的操作。因此,攻击者滥用 Web 应用程序对受害者浏览器的信任。它允许攻击者部分绕过同源策略,该策略旨在防止不同的网站相互干扰。CSRF 令牌是由服务器端应用程序生成的唯一、不可预测的密钥值,并发送到客户端以包含在客户端发出的后续 HTTP 请求中。颁发令牌后,当客户端发出请求时,服务器会检查请求是否包含预期的令牌,如果令牌丢失或无效,则拒绝它。
CSRF】学习关于CSRF攻击和防范
NineWaited的博客
03-13 1622
关于CSRF攻击的相关信息,包括如何怎么发生,发生场景和如何防范
CSRF cookie not set
04-15
当你在Django中进行POST请求时,需要在请求中包含CSRF令牌,以验证请求的合法性。 在你提供的引用中,报错信息"Forbidden (CSRF cookie not set.)"表示在进行POST请求时,没有设置CSRF cookie导致请求被拒绝。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值