CSRF 令牌 & JavaScript

最新推荐文章于 2024-06-18 17:09:25 发布
最新推荐文章于 2024-06-18 17:09:25 发布
阅读量467 收藏
点赞数
文章标签: javascript json php ViewUI
原文链接:http://www.cnblogs.com/imike/p/10637438.html
版权

当构建由 JavaScript 驱动的应用时,可以方便地让 JavaScript HTTP 函数库发起每一个请求时自动附上 CSRF 令牌。默认情况下, resources/js/bootstrap.js 文件会用 Axios HTTP 函数库注册的 csrf-token meta 标签中的值。如果你不使用这个函数库,你需要手动为你的应用配置此行为。

从bootstrap.js中的以下代码片段可以看出,当使用 Axios HTTP函数库作为请求时,CSRF 令牌会自动传入 X-CSRF-TOKEN 请求头。 如果你不是用 Axios 作为 HTTP 请求库的话(比如用 jQuery),那么就需要你手动配置了。

/**
 * Next we will register the CSRF Token as a common header with Axios so that
 * all outgoing HTTP requests automatically have it attached. This is just
 * a simple convenience so we don't have to attach every token manually.
 */

let token = document.head.querySelector('meta[name="csrf-token"]');

if (token) {
    window.axios.defaults.headers.common['X-CSRF-TOKEN'] = token.content;
} else {
    console.error('CSRF token not found: https://laravel.com/docs/csrf#csrf-x-csrf-token');
}

其中 document.head.querySelector('meta[name="csrf-token"]'); 会读取 <meta name="csrf-token" >的值,所以应该在模板文件里面加上 <meta name="csrf-token" content="{{ csrf_token() }}">标签。

 

值得注意的是:当不是用 Axios 作为 HTTP 请求库的话,比如用 jQuery 那么通过Axios自动附上 CSRF 令牌是无效的,需要我们手动设置headers参数将 CSRF 令牌传递给服务器,如:

 

$.ajax({
	url: "{{ route('post') }}", //处理页
	type:"POST",
	headers: {
	        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
	 },
         dataType: "json",
         data: { title: "标题内容", body: "主要内容"},
         success: function(result,status,xhr){
	       alert("~成功~,返回结果:" + result.message + ",返回状态:"+status+",xhr:"+xhr.responseText + ",status: " + xhr.status + ",responseJSON: " + xhr.responseJSON);
	 },
	error: function(xhr,status,error){
		alert("~失败~, xhr: " + xhr.responseText + ",返回状态:" + status + ",错误:" + error + ",status: " + xhr.status + ",responseJSON: " + xhr.responseJSON);
	}
});

 

转载于:https://www.cnblogs.com/imike/p/10637438.html

weixin_30845171
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决Laravel 5.5 header['X-CSRF-TOKEN','Authorization']请求问题
Stein的博客
01-04 6630
1、解决 "CSRF-TOKEN",需要在主模板里更改: In header name="csrf-token" content="{{ csrf_token() }}" /> 2、解决 "X-CSRF-TOKEN",需要在主模板里更改: In header name="csrf-token" content="{{ csrf_token() }}" /> In
跨站点请求伪造 (CSRF):影响、示例和预防
简介
01-12 817
跨站点请求伪造 (CSRF/XSRF),是一个 Web 安全漏洞,可诱使 Web 浏览器执行不需要的操作。因此,攻击者滥用 Web 应用程序对受害者浏览器的信任。它允许攻击者部分绕过同源策略,该策略旨在防止不同的网站相互干扰。CSRF 令牌是由服务器端应用程序生成的唯一、不可预测的密钥值,并发送到客户端以包含在客户端发出的后续 HTTP 请求中。颁发令牌后,当客户端发出请求时,服务器会检查请求是否包含预期的令牌,如果令牌丢失或无效,则拒绝它。
【JS】JS获取cookie里的csrftoken并添加到header里
10相濡以沫
08-18 3816
Django需要csrftoken来进行CSRF的防御 既然是前后端都自己写,肯定不能整@csrf_exempt这样的办法 JS用正则表达式获取cookie var regex = /.*csrftoken=([^;.]*).*$/ ; var xCSRFToken = document.cookie.match(regex) === null ? null : document.cookie.match(regex)[1] cookie的样式 Cookie: sessionid=tc3prqefkjt7
X-CSRF-Token
热门推荐
01-24 1万+
Odata服务HTTP测试总是出现烦人的 CSRF token validation failed (for all modifying requests)忽略下图中的报文错误 怀疑是服务器参数的设置问题,临时应急的话可以先针对这个服务把CSRF校验关掉 SICF找到这个服务 增加一个参数 Modifying request的CSRF这样的工作的: 用一个非修改(non-m...
【burpsuite安全练兵场-客户端12】跨站点请求伪造CSRF-12个实验(全)
最新发布
heike_Ch的博客
06-18 1100
一、跨站点请求伪造(CSRF)1、简述:2、影响:3、原理:4、构造CSRF攻击实验1:无防御的CSRF漏洞5、利用CSRF6、针对CSRF的常见防御措施二、绕过CSRF令牌验证1、CSRF令牌2、CSRF令牌的验证取决于请求方法实验2:令牌验证取决于请求方法的CSRF3、CSRF令牌的验证取决于令牌是否存在实验3:CSRF,其中令牌验证取决于令牌是否存在4、CSRF令牌未绑定到用户会话实验4:令牌未绑定到用户会话的CSRF5、CSRF令牌绑定到非会话Cookie。
python vue token_Laravel Vue 前后端分离 使用token认证
weixin_39991531的博客
12-30 222
在做前后台分离的项目中,认证是必须的,由于http是无状态的。前台用户登录成功后,后台给前台返回token。之后前台给后台发请求每次携带token。原理也非常简单:前天在请求头中添加 Authorization,如下image.png后台取到值,然后去用户表的api_token列进行匹配,如果查到说明验证成功,并且返回相关信息。Laravel本身自带几种验证方式,下面介绍下token认证的实现的方...
如何使用反 CSRF 令牌保护您的网站和 Web 应用程序
zzhongcy的专栏
09-15 999
虽然在许多情况下这在技术上可能是正确的,但通常很难预测访问 API 的所有方式(以及将来可能修改的方式),因此为 REST API 提供 CSRF 保护可能会被视为额外的安全层。使用上述基本的反 CSRF 令牌,您可以在登录时在用户会话 cookie 中设置令牌,然后为每个表单验证相同的令牌。为了平衡安全性和可用性,您可以为您使用的每个表单生成单独的令牌。但现在假设您的站点使用简单的基于令牌CSRF 缓解措施,并且您的 Web 服务器在登录后立即发送到浏览器的会话 cookie 中设置令牌
csrfCSRF令牌创建和验证背后的逻辑
02-19
CSRF令牌创建和验证背后的逻辑。 阅读了解更多关于CSRF的信息。 使用此模块可以创建自定义CSRF中间件。 是否正在为使用该模块的最喜欢的框架寻找CSRF框架? 快速/连接: 或 Koa: 或 安装 $ npm install csrf ...
csurf:CSRF令牌中间件
02-04
使用完成 : $ npm install csurfAPI var csurf = require ( 'csurf' )csurf([选项]) 创建用于CSRF令牌创建和验证的中间件。 该中间件添加了一个req.csrfToken()函数以创建一个令牌,该令牌应添加到在隐藏的表单...
koa-csrf-header:检查 HTTP 标头字段中的 CSRF 令牌
05-30
有多种方法可以在整个用户会话中存储 CSRF 令牌。 还有多种方法可以向下游发送 CSRF 令牌。 这个包对所有方法都是不可知的。 默认情况下, ctx.session.csrfToken用于保留令牌。 这是一个使用默认选项的示例。
csrf-xhr:自动将Rails CSRF令牌添加到XMLHttpRequest标头中
05-22
csrf-xhr 自动将Rails CSRF令牌添加到XMLHttpRequest标头中。如何使用在Rails添加到页面的<meta name="csrf-token">之后的任意位置,在[removed] csrf-xhr.js加载。 从现在开始,任何目标URL为您本地来源的...
csrf-login-token:来自登录令牌中间件的CSRF令牌
04-15
使用登录令牌的csurf Node.js 保护...选项csurf函数采用一个可选的options对象,该对象可能包含以下任何键:ignoreMethods 禁用CSRF令牌检查的方法的数组。 默认为['GET', 'HEAD', 'OPTIONS'] 。价值提供中间件将调用的
csrf校验插件-js
05-03
使用该插件可以在使用js向后端提交数据时进行csrf校验
CSRF】学习关于CSRF攻击和防范
NineWaited的博客
03-13 1623
关于CSRF攻击的相关信息,包括如何怎么发生,发生场景和如何防范
CSRF 攻击的应对之道
sarck3的专栏
02-12 1054
简介: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析
Ajax相关 及 解决csrf_token
weixin_33829657的博客
08-08 921
一、   AJAX(Asynchronous Javascript And XML)翻译成中文就是“异步的Javascript和XML”。   即使用Javascript语言与服务器进行异步交互,传输数据。传输的数据不只是XML。 特点优势:      1.AJAX使用JavaScript技术向服务器发送异步请求     2.AJAX请求无须刷新整个页面,即可与服...
jQuery发送csrftoken
qq765222abc的博客
03-26 649
导入jquery.cookie.js 在ajax请求中加入headers:{ “X-CSRFtoken”: $.cookie(“csrftoken”)}
js拼接html表单csrf_token,如何在javascript中使用{%csrf_token%}
weixin_36033929的博客
06-19 527
在我的用户页面中,我使用ajax进行编辑.当我点击编辑时,它工作正常.但是当我提交表格时,它什么也没做.当我检查时,这是错误:CSRF验证失败.请求中止.那么,我如何在我的javascript中放置{%csrf_token%}?请指教.谢谢.edit.js:function bookmark_edit() {var item = $(this).parent();var url = item.fi...
laravel5.5 api_token源码解析 && 实现快捷解决api访问的无认证状态
cominglately的博客
06-17 1295
场景 . laravel5.5的API认证分为两种 1. passport 2. api_token /* |-------------------------------------------------------------------------- | Authentication Guards |---------------------------...
CSRF cookie not set
04-15
CSRF(Cross-Site Request Forgery)是一种常见的安全漏洞,用于攻击用户在已登录的网站上执行非预期的操作。为了防止CSRF攻击,Django引入了CSRF保护机制。当你在Django中进行POST请求时,需要在请求中包含CSRF令牌,以验证请求的合法性。 在你提供的引用中,报错信息"Forbidden (CSRF cookie not set.)"表示在进行POST请求时,没有设置CSRF cookie导致请求被拒绝。 解决这个问题的方法有以下几种[^1][^2]: 1. 使用Django提供的模板标签`{% csrf_token %}`来生成CSRF令牌,并将其包含在POST请求的表单中。例如: ```html <form method="post"> {% csrf_token %} <!-- 其他表单字段 --> <input type="submit" value="提交"> </form> ``` 2. 如果你使用的是AJAX进行POST请求,可以在请求头中包含CSRF令牌。例如: ```javascript var csrftoken = getCookie('csrftoken'); // 从Cookie中获取CSRF令牌 $.ajax({ url: '/apis/', type: 'POST', headers: { 'X-CSRFToken': csrftoken // 在请求头中添加CSRF令牌 }, data: { // 请求数据 }, success: function(response) { // 请求成功的处理 } }); ``` 3. 如果你在进行测试时遇到这个问题,可以在测试代码中手动设置CSRF cookie。例如: ```python from django.test import Client client = Client(enforce_csrf_checks=True) response = client.post('/apis/', data={ # 请求数据 }, HTTP_X_CSRFTOKEN='your-csrf-token') # 设置CSRF cookie ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值