什么是跨域?什么是CSRF?

最新推荐文章于 2024-06-07 09:18:52 发布
最新推荐文章于 2024-06-07 09:18:52 发布
阅读量153 收藏
点赞数
文章标签: javascript ViewUI
原文链接:http://www.cnblogs.com/iamsmiling/p/10644023.html
版权

(参考链接:https://www.jianshu.com/p/f880878c1398)

什么是跨域?

  在 HTML 中,<a>, <form>, <img>, <script>, <iframe>, <link> 等标签以及 Ajax 都可以指向一个资源地址,而所谓的跨域请求就是指:当前发起请求的域与该请求指向的资源所在的域不一样。这里的域指的是这样的一个概念:我们认为若协议 + 域名 + 端口号均相同,那么就是同域,只要三者中有一个不相同就属于跨域。

  跨域访问示例

    假设有两个网站,A网站部署在:http://localhost:81 即本地ip端口81上;B网站部署在:http://localhost:82 即本地ip端口82上。现在A网站的页面想去访问B网站的信息,A网站页面的代码如下(这里使用jquery的异步请求):

$(function (){
    $.get("http://localhost:82/api/values", {},function (result) {
          $("#show").html(result);
  })});

    

 

 

  同源策略是由Netscape提出的著名安全策略,是浏览器最核心、基本的安全功能,它限制了一个源(origin)中加载文本或者脚本与来自其他源(origin)中资源的交互方式,所谓的同源就是指协议、域名、端口相同。

  同源策略,其初衷是为了浏览器的安全性,通过以下三种限制,保证浏览器不易受到XSS、CSFR等攻击。

  • Cookie、LocalStorage 和 IndexDB 无法读取
  • DOM 和 Js对象无法获得
  • AJAX 请求不能发送

(参考原文:)

什么是CSRF?

    CSRF全称是Cross-site Request Forgery.原文链接:

    https://www.cnblogs.com/wangyuyu/articles/3388169.html

 

   

 

    

转载于:https://www.cnblogs.com/iamsmiling/p/10644023.html

weixin_33758863
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【Go开源宝藏】CORS 跨域CSRF攻击 | 中间件
面向生活编程
10-17 2360
【Go开源宝藏】CORS 跨域
CSRF 跨域
ywn0601的博客
01-12 523
了解CSRF跨域
跨域CSRF攻击
刘旭濠的博客
06-08 1928
作者:刘旭濠 跨域每个程序员都要掌握的一门知识,其实我一开始也不知道什么是跨域甚至是第一次听到好奇这是啥玩意(毕竟我还是小白一个)不过看了网上一堆资料虽然有点乱但是还是理解了一些,那么我来分享一下我的理解吧,那么什么是跨域跨域就是指浏览器不能执行其他网站脚本,是对浏览器对JavaScript加的安全限制,为什么要限制呢,那就是怕CSRF攻击,至于CSRF攻击是什么接下来也会讲到的。 那么我就这样...
Django跨域请求CSRF的方法示例
01-20
web跨域请求 1.为什么要有跨域限制 举个例子: 1.用户登录了自己的银行页面 http://mybank.com,http://mybank.com向用户的cookie中添加用户标识。 2.用户浏览了恶意页面 http://evil.com。执行了页面中的恶意AJAX请求代码。 3.http://evil.com向http://mybank.com发起AJAX HTTP请求,请求会默认把http://mybank.com对应cookie也同时发送过去。 4.银行页面从发送的cookie中提取用户标识,验证用户无误,response中返回请求数据。此时数据就泄露了。 5.而且由于Ajax
关于跨域csrf 的那些事
dengdongxia的博客
09-03 1926
前言   在这段时间,部门前辈分享了不少干货。我学到了不少内容,并对其进行简单整理,以便更好地转化为自己的知识。 知识探讨部分 关于跨域 产生 协议,域名,端口三者其中存在不同都会形成跨域;故,当协议,端口,域名三者均相同时,浏览器就会认为是同源,允许加载该资源,否则为不同源。 跨域存在原因:浏览器的同源限制策略 请求:客户端(www.a.com) -》 服务端(www.baidu.com)...
CSRF(跨站请求伪造)的理解
移动端开发干货分享
04-15 526
原文:https://my.oschina.net/jasonultimate/blog/212554 下班的时候跟公司大神一起走,问了他几个问题,接着就给我讲了XSS攻击和CSRF攻击,他通过举例子的方式讲解,通俗易懂,感觉收获很大!又学到了一些新知识,心里特别高兴,为了防止我这个脑子很快就忘掉,所以趁着热乎,写下来,方便以后回顾一下~ 一、什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。那么什么是跨站请求伪造呢?让我一个词一个词的.
CSRF跨域攻击及预防
song_myth的博客
08-11 774
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状   C
安全开发之CSRF(跨域请求伪造)
XZ85201的博客
05-20 1292
概念:CSRF(Cross Site Request Forgery)跨域请求伪造,顾名思义,是在跨域的基础上利用伪造请求而达成的一种攻击手段。
csrf跨域攻击
dremcl的博客
03-11 106
csrf攻击原理 请求响应: 从正规网站上注册信息等等,网站会给用户返回一个csrf_token,当用户注册的信息发送时,会带着csrf_token一起返回,若返回的csrf_token一致,则成功,若不一致,则没有响应。钓鱼网站不会有csrf_token! 实例 1 首先在model中定义一个表结构 ...
浅谈CSRF跨域攻击
DevOps
05-15 1654
CSRF(Cross Site Request Forgery) 跨站请求伪造。在用户不知情的情况下以用户的名义向有CSRF漏洞的网站发起攻击,有很大的危害性。 预防:在header中添加一个随机token,和cookie中的csrftoken进行比较,如果不相同,则表示该请求是CSRF攻击。 原理:网站可以伪造header中的东西,但不能读cookie中的数据,而token是个随机数,所以伪...
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
http长连接与短连接 HTTP协议与TCP/IP协议的关系 HTTP的长连接和短连接本质上是TCP长连接和短连接。HTTP属于应用层协议,在传输层使用TCP协议,在网络层使用IP协议。IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,使在网络上的另一端收到发端发出的所有包,并且顺序与发出顺序一致。TCP有可靠,面向连接的特点。 如何理解HTTP协议是无状态的 HTTP协议是无状态的,指的是协议对于事务处理没有记忆能力,服务器不知道客户端是什么状态。也就是说,打开一个服务器上的网页和你之前打开这个服务器上的网页之间没有任何联系。HTTP是一个无状态的面向连接的协议,无状态不代表HTTP不能保持TCP连接,更不能代表HTTP使用的是UDP协议(无连接)。 跨域实战解决方案 跨域原因产生:在当前域名请求网站中,默认不允许通过ajax请求发送其他域名。
spring security中的csrf防御原理(跨域请求伪造)
08-25
主要介绍了spring security中的csrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
django 取消csrf限制的实例
01-20
# 导入包 from django.views.decorators.csrf import csrf_exempt ...补充知识:Django 前后端分离跨域AJAX获取csrftoken及获取cookie时遇到的问题 获取CSRFTOKEN Django的中间件’django.middleware.c
SpringBoot 如何防御 CSRF 攻击
mry6的博客
04-29 1496
接下来,用户首先访问 csrf-simulate-web 项目中的接口,在访问的时候需要登录,用户就执行了登录操作,访问完整后,用户并没有执行登出操作,然后用户访问 csrf-loophole-web 中的页面,看到了超链接,好奇这美女到底长啥样,一点击,结果钱就被人转走了。因为在 CSRF 攻击中,黑客网站其实是不知道用户的 Cookie 具体是什么的,他是让用户自己发送请求到网上银行这个网站的,因为这个过程会自动携带上 Cookie 中的信息。在登录成功后回调的详细解释。
【web】CSRF跨站(跨域)请求伪造攻击方式
m0_45406092的博客
02-25 574
文章目录1. CSRF是什么?2. CSRF可以做什么?3. CSRF的原理3.1 举例描述原理3.1.1 示例1:3.1.2 示例2:3.1.3 示例3:4. CSRF的防御4.1 服务端进行CSRF防御4.1.1 token4.1.1.1 Cookie Hashing(所有表单都包含同一个伪随机值):4.1.1.2 验证码4.1.1.3 One-Time Tokens(不同的表单包含一个不同的伪随机值)4.1.2 验证 HTTP Referer 字段4.1.3 在 HTTP 头中自定义属性并验证 1.
CSRF简述-跨域解决方案CORS
Static_HackSun的博客
05-05 507
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚...
​​​​一文彻底搞懂 跨域 同源策略 csrf攻击原理
lifan_zuishuai的博客
06-26 1871
​​​​一文彻底搞懂 跨域 同源策略 csrf攻击原理
Ruoyi-Vue-Plus 下载启动后菜单无法点击展开,
最新发布
06-07 251
1.框架下载后运行2.使用mock数据3.进入页面后无法点击菜单本以为是动态路由或者菜单逻辑出了问题,最后发现是websocket的问题。
什么是CSRF攻击?
05-18
CSRF(Cross-Site Request Forgery)攻击是一种Web应用程序中常见的安全漏洞,攻击者可以利用该漏洞欺骗用户在不知情的情况下执行某些操作,比如在用户不知情的情况下发邮件、发微博、加好友等。攻击者通过构造恶意请求,将请求发送到服务器,而服务器无法区分是合法的请求还是恶意的请求。一旦用户点击了恶意链接或访问了恶意网站,攻击者就能够获得用户的身份认证信息,并且以此进行攻击。 防范CSRF攻击的方法有: 1. 在请求中添加token验证,确保请求是来自合法的源。 2. 不要使用基于cookie认证的方案。 3. 使用独立的子域名来存放数据,防止跨域攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值