ajax 页面 令牌,如何在ajax POST请求中设置标头以包含CSRF令牌

最新推荐文章于 2024-03-19 19:52:08 发布
最新推荐文章于 2024-03-19 19:52:08 发布
阅读量368 收藏
点赞数
文章标签: ajax 页面 令牌

帮助设置标题以消除该错误消息:"Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'."

HTML:









我的JS代码:

var recipe = getRecipe();

var token = $("meta[name='_csrf']").attr("content");

var header = $("meta[name='_csrf_header']").attr("content");

console.log(token);

console.log(header);

console.log(recipe);

var headers = {};

// How set up header for include CSRF-Token

$.ajax({

url: "/recipe",

type: "POST",

dataType: "json",

contentType: "application/json",

headers: headers,

data: JSON.stringify(recipe, null, "\t"),

success: function(data) {

console.log(data);

},

error : getErrorMsg

});

我的控制器代码:

@RequestMapping(value = "/recipe", method = RequestMethod.POST, produces = {"application/json"})

@ResponseStatus(HttpStatus.OK)

public @ResponseBody

String addRecipe(@RequestBody String jsonString) {

Recipe recipe = Recipe.fromJson(jsonString);

recipe.setUser(getLoggedUser());

if (recipe.getCategory() != null)

recipe.setCategory(categoryService.findById(recipe.getCategory().getId()));

recipe.setFavoriteUsers(recipeService.findById(recipe.getId()).getFavoriteUsers());

recipe.setPhoto(recipeService.findById(recipe.getId()).getPhoto());

recipeService.save(recipe);

return recipe.toJson();

}

安全配置:

@Override

protected void configure(HttpSecurity http) throws Exception {

http

.authorizeRequests()

.anyRequest().hasRole("USER")

.and()

.formLogin()

.loginPage("/login")

.permitAll()

.successHandler(loginSuccessHandler())

.failureHandler(loginFailureHandler())

.and()

.logout()

.permitAll()

.logoutSuccessUrl("/login")

.and()

.csrf();

}

我如何确保启用csrf?

我如何设置我的ajax请求的标头?

任何帮助将不胜感激。

王向华
关注
Laravel基础之CSRF保护
蛐蛐的博客
11-07 832
1.简介 Laravel使您可以轻松保护应用程序免受跨站点请求伪造(CSRF)攻击。 跨站点请求伪造是一种恶意利用,利用这种手段,代表经过身份验证的用户执行未经授权的命令。 Laravel为应用程序管理的每个活动用户会话自动生成一个CSRF令牌”。 此令牌用于验证经过身份验证的用户是实际向应用程序发出请求的用户。 每当您在应用程序定义HTML表单时,都应在表单包含一个隐藏的CSRF令牌字段,以便CSRF保护间件可以验证请求。 您可以使用@csrf Blade指令生成令牌字段: ...
LocalStorage与Cookies:关于在前端安全存储JWT令牌的所有知识
weixin_26737625的博客
08-23 1804
We went over how OAuth 2.0 works in the last post which covered how to generate access tokens and refresh tokens. What’s next is how do you store them securely in your front-end? 我们在上一篇文章介绍了OAuth 2.0...
java ajax csrf,jquery – 如何在表单的AJAX post请求传递CSRF令牌
weixin_42421331的博客
03-11 182
好吧,经过几个小时的斗争并尝试解密Play上经常缺乏的上下文文档在subject上,我已经知道了.所以,从他们的文档:To allow simple protection for non browser requests, Play only checksrequests with cookies in the header. If you are making requests withAJAX...
ajax可以csrf,如何在表单的AJAX发布请求传递CSRF令牌
weixin_39644139的博客
08-05 464
小编典典好的,经过几个小时的努力,并尝试解密Play上经常出现的主题上下文文档不足的问题,我明白了。因此,从他们的文档:为了对非浏览器请求提供简单保护,“播放”仅检查标头包含Cookie的请求。如果使用AJAX发出请求,则可以将CSRF令牌放在HTML页面,然后使用Csrf-Token标题将其添加到请求。然后没有代码或示例。谢谢玩。非常具有描述性。无论如何,这是如何:在你的view.htm...
ajax 获得csrf,Ajax Post-ApiCSRF令牌
weixin_28811227的博客
08-06 309
我的问题是我用Django制作了一个POST-API,我用一个按钮调用它。但每次它给CSRF令牌错误。每次post请求都返回403。我不知道我错在哪里。在我在下面写我的代码。其余代码可以在in this repo找到。在API输入视图.py在class UserList(APIView):def post(self, request, format=None):serializer = User...
ajax跨域 csrf,如何使用CSRF令牌进行跨域Ajax调用?
weixin_39883906的博客
08-06 386
我在Django应用程序模板有一个典型的登录表单(它直接使用Bootstrap,而不是通过某个插件): {% csrf_token %}Please sign inLogin:Password:Sign in下面是通过requests module执行远程身份验证的相应视图:^{pr2}${js{Ajax成功的原因是,{csa3}为了其他目的,我可以通过远程Javascript进行一次查询(例如...
CSRFAJAX
qq_40229790的博客
01-05 175
CSRFAJAX
django 返回ajax html,使用AJAX和Django获取数据的方法实例
weixin_42530458的博客
06-24 669
前言使用Django服务网页时,只要用户执行导致页面更改的操作,即使该更改仅影响页面的一小部分,它都会将完整的HTML模板传递给浏览器。 但是如果我们只想更新页面的一部分,则不必完全重新渲染页面-我们可以使用AJAX代替。AJAX提供了一种将GET或POST请求发送到Django视图并接收任何返回的数据而无需刷新页面的方法。 现代JavaScript包含fetch API,该API为我们提供了一种...
django处理ajax,使用AJAX获取Django后端数据
weixin_34266290的博客
08-05 1465
使用Django服务网页时,只要用户执行导致页面更改的操作,即使该更改仅影响页面的一小部分,它都会将完整的HTML模板传递给浏览器。但是如果我们只想更新页面的一部分,则不必完全重新渲染页面-这时候就要用到AJAX了。AJAX提供了一种将GET或POST请求发送到Django视图并接收任何返回的数据而无需刷新页面的方法。现代JavaScript包含fetch API,该API为我们提供了一种纯Jav...
asp html表单没有csrf保护,ASP.NET MVC 和网页的 XSRF/CSRF 防护
weixin_31849853的博客
06-28 485
ASP.NET MVC 和网页的 XSRF/CSRF 防护03/14/2013本文内容跨站点请求伪造(也称为 XSRF 或 CSRF)是一种针对 Web 托管型应用程序的攻击,恶意网站凭此可以影响客户端浏览器与受该浏览器信任的网站之间的交互。 这些攻击出现的原因可能是 Web 浏览器针对每一个对网站的请求自动发送身份验证令牌。 典型示例是身份验证 cookie,如 ASP.NET 的表单身份验证...
jquery-ajax发送请求前携带csrf-token
寂寥人生
08-05 719
动态设置,每次都会执行beforeSend //ajax监听 $.ajaxSetup({ //请求csrf-token beforeSend: function (xhr) { xhr.setRequestHeader('X-CSRF-TOKEN', localStorage.getItem('__token__')) }, //请求完毕更新csrf-token complete: function (xhr, status) { lo
ajax头文件报错,AJAXCSRF保护
weixin_26870929的博客
08-06 413
如果使用ajax传输数据,需要在AJAX要使用csrf保护。一般而言,即在后端已经使用了CSRFProtect(app)的前提下,如果想使用ajax,避免400的报错,可以前端的表单里引入标签,如下所示login.html然后在jsajax代码块将csfr包裹起来:login.js$(function () {$('#submit').click(function (event) {// ...
CSRF攻击、防止CSRF攻击原理及配置
m0_59860403的博客
04-23 1051
CSRF攻击 当用户在浏览器访问服务器,服务器给用户返回一个表单时,用户的ticket身份凭证会存放在cookie当,如果用户在提交表单前去浏览病毒网站,病毒网站会窃取cookie信息,获得凭证,此时表单提交的目标也是已知,所以病毒网站会通过post请求模拟用户发送请求,这样用户的财产安全就会受到侵犯。 Security底层防止CSRF攻击方式 当服务器想用户返回一个表单页面的时候,会顺便发送一个隐藏域,存储着tocken,是随机生成的,每次都是不同的,当CSRF攻击时候,虽然ticket凭证信
16. CSRF介绍和配置
细致-专业-实操
02-28 673
CSRF 攻击 CRSF: 跨站伪造请求攻击,某些恶意网站上包含连接、表单或者js,会利用登录过的用户在浏览器认证信息视图在你的网站上完成某些操作。 CSRF 防范: django采用 对比安好机制防范攻击 cookies存储暗号1,模板表单藏着暗号2 ,用户只有在本网站下提交数据,暗号2才会随表单提交给服务器,django对比两个暗号,对比成功,认为合法请求,否则是违法请求返回403 ,x_16) CSRF 配置 方法一: settings注释 django.middleware.csrf.Csrf
js 提交表单添加csrf
weixin_30577801的博客
02-15 368
function post(path, shipmentMap, method) { method = method || "post"; // Set method to post by default if not specified. var token = $('meta[name="_csrf"]').attr('content'); var token...
bboss 动态令牌使用示例-ajax请求获取和传递令牌
Bboss 每天进步一点点
08-28 242
bboss 动态令牌使用示例-ajax请求获取和传递令牌。bboss动态令牌实现机制参考文档: [url=http://yin-bp.iteye.com/blog/1662594]bboss 动态令牌机制轻松搞定网站跨站攻击和表单重复提交问题[/url] 本文内容: 1.如何编写自己的令牌生成控制器(基于bboss mvc) 2.如何通过ajax申请令牌和传递令牌 接下来进入正...
axios请求ajax请求post请求默认的表头,content-type不一样
Celine
05-11 275
axios请求ajax请求post请求默认的表头,content-type不一样
前端必备token令牌的使用
m0_61750010的博客
09-19 5311
token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 JWT(json web token) 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。 { "姓名": "张三", "角色": "管理员", "到期时间": "2021年10月11日0点0分" } 以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。 当然,为了防止用户篡改数据,服务器在生成这个对象的时候,会给他加密一下,就是
ajax常见请求
最新发布
m0_70798838的博客
03-19 597
Ajax默认的请求类型,浏览器的原生 form 表单,如果不设置 enctype 属性,那么最终就会以 application/x-www-form-urlencoded 方式提交数据。这也是一个常见的 POST 数据提交的方式。我们使用表单上传文件时,就要让 form 的 enctype 等于这个值。相比于JSON,XML不能更好的适用于数据交换,它包含了太多的包装, 而且它跟大多数编程语言的数据模型不匹配。application/json是用来告诉服务端消息主体是序列化后的 JSON 字符串。
如何在前端页面添加csrf令牌
03-25
2. 在每个请求添加一个自定义的X-CSRF-Token标头,其包含应该添加到请求CSRF令牌。然后,在每个请求,服务端将验证X-CSRF-Token标头令牌是否与用户会话令牌匹配。如果不匹配,将拒绝该请求。 3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值