纯html ajax,Spring security csrf实现前端纯html+ajax(示例代码)

最新推荐文章于 2024-03-01 21:32:15 发布
最新推荐文章于 2024-03-01 21:32:15 发布
阅读量151 收藏
点赞数
文章标签: 纯html ajax

spring security集成csrf

进行post等请求时,为了防止csrf攻击,需要获取token才能访问

因此需要添加

动态获取token

这样的话,需要使用jsp或模板引擎

但又想使用纯html+ajax.很难受

最近想到了一个办法

通过ajax获取token,后端仍使用jsp或freemarker之类的模板引擎

但前端可实现纯html+ajax,瞬间感觉释放

首先定义一个模板_csrf.ftl或_cscf.jsp等,内容为

然后写一个URI,返回的视图为_csrf.ftl,以spring mvc为例

@RequestMapping(path = "/jsp/common/_csrf",method = RequestMethod.GET)

public String _csrf(Model model){

return "/jsp/common/_csrf";

}

前端将token使用js append到header中,同时设置ajaxSetup的beforeSend,使其发送请求的时候将token放到请求头、

$(function () {

function getCsrfToken(){

$.get("${basePath}/jsp/common/_csrf",function(data){

$("head").append(data);

var token = $("meta[name=‘_csrf‘]").attr("content");

var header = $("meta[name=‘_csrf_header‘]").attr("content");

$.ajaxSetup({

beforeSend: function (xhr) {

if(header && token ){

xhr.setRequestHeader(header, token);

}

}

});

});

}

getCsrfToken()

})

只要在有post等需要token的请求页面添加上面的代码,即可愉快的写ajax了

最主要的是安全性,不知道这样能不能保证token不被csrf利用

因为其放置token的位置和使用方式和一般的方式是一样的,所以暂且认为是安全的,毕竟请求还是需要token

无形无状
关注
spring securitycsrf防御机制在ajax中的应用
InfoSecPractitioner
11-27 1万+
spring securitycsrf防御功能: 在jsp中使用如下代码: ... 上述代码中,等同于: 而,之所以使用spring的替代标签,是因为spring的标签可以自动将token以hidden类型添加到提交的数据当中 在js代码中,使用如下方式: var csrfParameter = $("meta[name='_csrf_para
spring security ajax请求与html共存
03-23
spring security 安全认证与资源管理,,安全性特别高,,可以配置更多的安全设置。在许多企业应用中,都选用了这项技术。该代码主要将ajax请求与from请求区别。供大家参考!
springSecurity csrf ajax
一叶竹
10-30 1041
html设置 ajax : var token = $("meta[name='_csrf']").attr("content"); var header = $("meta[name='_csrf_header']").attr("content");  $.ajax({           url: "./deleteRes",
htmlAjax
weixin_43666859的博客
11-22 6518
使用了SpringMVC框架的htmlAjax: 增删改查 使用Ajax的目的就是不想使用jsp的任何东西。至于是不是增删改查四个全用Ajax,实际上并不重要。html使用Ajax最重要的地方就在于全查,得到所有数据后会在Ajax的回调函数中使用JQuery中的each来遍历,这样就可以替代在jsp页面中可以使用标签遍历的优势了。 这是一个html页面。不是jsp页面。 在这里插入代码片 &...
html+ajax安全性,AJAX安全问题
weixin_36013931的博客
06-10 201
异步Javascript和XML(AJAX)是用于开发Web应用程序以提供丰富用户体验的最新技术之一。由于它是一项新技术,因此尚未完成许多安全问题,以下是AJAX中的少数安全问题。攻击面更多,因为需要保护更多输入。它还公开了应用程序的内部功能。无法保护身份验证信息和会话。客户端和服务器端之间存在非常狭窄的界限,因此存在安全性错误的可能性。示例以下是AJAX安全性的示例 –2006年,蠕虫感染了使用...
jQuery实现HTML模板进行ajax数据绑定
06-29
具体介绍看http://blog.csdn.net/luq885/archive/2007/06/06/1639933.aspx
spring security CSRF防护的示例代码
08-26
Spring Security CSRF 防护机制详解 CSRF(Cross-site request forgery),即跨站请求伪造,是一种常见的 Web 攻击。Spring Security 4.0 及更高版本默认启用 CSRF 防护,以防止 CSRF 攻击应用程序。下面是 Spring ...
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
SpringSecurity框架下实现CSRF跨站攻击防御的方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 项目中,可以通过引入 Spring Security 的相关依赖项来实现 CSRF 防护。 首先,在 pom 文件中添加 Spring Security 的依赖项: ```xml <groupId>org.springframework.security <artifactId>...
SpringBoot项目+SpringSecurity+前端静态资源
08-23
在本项目中,"SpringBoot项目+SpringSecurity+前端静态资源"是一个综合性的开发实践,主要涉及了Spring Boot和Spring Security这两个核心的Java框架,以及前端的静态资源管理。Spring Boot简化了Java应用的初始化和...
springsecurity配置csrfajax发送post请求访问
qq_51961167的博客
04-24 1735
springsecurity配置csrfajax发送post请求访问
json csrf html5,JSON CSRF新姿势(示例代码)
weixin_29817863的博客
06-28 168
微信公众号:安全文库测试的时候,当应用程序验证了Content-type和data format,这种新姿势依然可以可以使用flash和307重定向来实现JSON CSRF。要求:1 制作一个Flash文件2制作一个跨域XML文件3制作一个具有307状态码的PHP文件制作FLASH文件:这个flash(.swf)文件有我们需要POST的json格式的数据,攻击者必须在目标应用程序上发布,并链接到托...
htmlcsrf漏洞代码, 看图说话:跨站伪造请求(CSRF漏洞示例
weixin_36480122的博客
06-09 641
1、CSRF(Cross-site request forgery)跨站请求伪造,通常缩CSRF或者XSRF,是一种对网站的恶意利用,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点(信任站点A)。尽管听起来像跨站脚本(XSS);2、与网站脚本(XSS)相比:--XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。--CSRF攻击在近年逐渐流行和...
htmlcsrf漏洞代码,如何在JSON端点上利用CSRF漏洞
weixin_36035992的博客
06-09 315
(CSRF + Flash + HTTP 307)=别说了,你已经“死”了!如果你想通过第三方攻击者控制的服务器在JSON端点利用一个CSRF漏洞的话,我给大家推荐一个名叫json-flash-csrf-poc的GitHub项目【下载地址】。背景故事在近期的一次渗透测试过程中,我们不仅发现了几个业务逻辑漏洞、XSS漏洞以及不安全的直接对象引用漏洞,而且还发现了一些跨站请求伪造(CSRF)漏洞。在我...
html 表单注入,csrf表单注入
weixin_34138673的博客
06-25 435
将生成的唯一token传入后台隐藏表单,并保存在session中,接受的时候判断与之前的是否相同session_start();if (_POST['token'] == name = strip_tags(name = substr(name = cleanHex($name);}else{//stop all processing! remote form posting attempt!}}...
Web安全之CSRF实例解析
frontend_frank的博客
07-06 1452
CSRF跨站请求伪造(Cross Site Request Forgery),是指黑客诱导用户打开黑客的网站,在黑客的网站中,利用用户的登陆状态发起的跨站请求。CSRF攻击就是利用了用户...
wf sql xsrf.html,Spring security csrf实现前端html+ajax
weixin_35853975的博客
06-18 164
spring security集成csrf进行post等请求时,为了防止csrf攻击,须要获取token才能访问javascript所以须要添加html动态获取token前端这样的话,须要使用jsp或模板引擎java但又想使用html+ajax.很难受ajax最近想到了一个办法spring经过ajax获取token,后端仍使用jsp或freemarker之类的模板引擎后端但前端实现html+...
ajax html网页,JavaScript – 页面加载HTML AJAX网站中的替代品
weixin_28849465的博客
08-06 105
Is my goal impossible or there’s a mature approach out there?最近有很多JavaScript框架围绕这个概念(“单页应用程序”)设计,使页面加载,而没有预先加载任何数据,并通过AJAX访问所有数据.这些框架的一些例子是AngularJS,Backbone.js,Ember.js和Knockout.所以不,这根本就不可能.我建议您了解这些框...
HTML---Ajax
最新发布
zhoutong2323的博客
03-01 930
AJAX(Asynchronous Javascript And XML)是一种创建交互式网页应用的网页开发技术。它使用Javascript语言与服务器进行异步交互,可以传输包括但不仅限于XML格式的数据。其最大的特点在于,当服务器响应时,无需刷新整个浏览器页面,而是可以实现局部刷新。因此,用户在使用过程中几乎不会感觉到页面加载或跳转,从而提供了更加流畅的用户体验。与传统的同步交互相比,AJAX的异步交互方式允许客户端在发出一个请求后,无需等待服务器响应结束,就可以发出第二个请求。
springsecurity csrf前后端分离
09-02
对于前后端分离的应用,Spring Security提供了一种处理跨站请求伪造(CSRF)的方式。CSRF攻击是一种利用用户已经认证的身份进行恶意操作的攻击方式,而Spring Security通过在请求中包含一个CSRF令牌来防止此类攻击。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值