python跨域攻击教学_Python学习————跨域问题

最新推荐文章于 2024-08-18 17:25:38 发布
最新推荐文章于 2024-08-18 17:25:38 发布
阅读量370 收藏
点赞数
文章标签: python跨域攻击教学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42118160/article/details/112892916
版权

一:跨域请求

跨域问题

问题出现:前后端来自同一个IP的不同端口

一种奇葩的解决方法:开发的时候前后端分离,部署的时候不分离

1.同源策略

简介

同源策略,是浏览器为了保护用户信息安全的一种安全政策。

同源通常指的是 浏览器页面的 协议相同 域名相同 端口相同

同源策略的目的是为了保证用户的信息安全,防止恶意的网站窃取信息数据。

所谓的同源就是指代通信的两个地址(例如服务端接口地址与浏览器客户端页面地址)之间比较,是否协议、域名(IP)和端口相同

不同源的客户端脚本[javascript]在没有得到服务端的明确授权的情况下,浏览器会拒绝显示服务端信息提供给前端ajax/axios

2.CORS(跨域资源共享)简介

CORS是一个W3C标准,全称是"跨域资源共享",它允许浏览器向跨源的后端服务器发出ajax请求,从而克服了AJAX只能同源使用的限制。

实现CORS主要依靠后端服务器中响应数据中设置响应头信息返回的

CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。

整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信

容易混淆的点:

CORS:跨域资源共享

CSRF: 跨站请求伪造

XSS: 跨站脚本攻击

3.CORS基本流程

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)

浏览器发出CORS简单请求,只需要在头信息之中增加一个Origin字段

浏览器发出CORS非简单请求,会在正式通信之前,增加一次HTTP查询请求,称为”预检”请求(preflight)

览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段

只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

4.解决跨域问题的3种方法

前端解决(通过代理解决)

自己解决(自己写代码)

借助第三方模块(django-cors-headers)

5.CORS两种请求详解

只要同时满足以下两大条件,就属于简单请求

① 请求方法是以下三种方法之一

HEAD

GET

POST

② HTTP的头信息不超出以下几种字段

Accept

Accept-Language

Content-Language

Last-Event-ID

Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同时满足上面两个条件,就属于非简单请求

6.浏览器对这两种请求的处理,是不一样的

简单请求和非简单请求的区别

简单请求:发1次请求

非简单请求:发2次请求,在发送数据之前会先发1次请求用于做“预检”看后端是否允许,只有“预检”通过后才再发送1次请求用于数据传输。

请求方式:OPTIONS

预检:

检查如果通过则允许传输数据,检查不通过则不再发送真正想要发送的消息

如何预检:

如果复杂请求是PUT等请求,则服务端需要设置允许某请求,否则“预检”不通过

Access-Control-Request-Method

如果复杂请求设置了请求头,则服务端需要设置允许某请求头,否则“预检”不通过

Access-Control-Request-Headers

二:解决跨域问题(服务端)

简单请求

1.原Django项目:apps/user/views.py

from django.http import JsonResponse

def test(request):

obj = JsonResponse({'name': 'Darker', 'age': '18'})

# 值针对简单请求

obj['Access-Control-Allow-Origin'] = '*' # 允许所有IP访问

return obj

Python

复制

2.原Django项目:apps/user/urls.py

from django.urls import path

from user import views

urlpatterns = [

path('test/', views.test),

]

Python

复制

3.原Django项目:dev.py中注释掉CSRF

4.再创建1个Django项目(用另外的端口)

① templates中创建index.html

Title

点我

$('#btn').click(function () {

$.ajax({

url: 'http://127.0.0.1:8000/user/test/',

method: 'get',

success: function (data) {

console.log(data)

}

})

})

HTML

复制

② views.py

from django.shortcuts import render

def index(request):

return render(request, 'index.html')

Python

复制

③ urls.py

from django.urls import path

from app01 import views

urlpatterns = [

path('test/', views.index),

]

Python

复制

非简单请求

原Django项目apps/user/views.py

from django.http import JsonResponse

def test(request):

obj = JsonResponse({'name': 'Darker', 'age': '18'})

if request.method == 'OPTIONS':

obj['Access-Control-Allow-Headers'] = 'Content-Type,authorization' # 或者填写 *

obj['Access-Control-Allow-Origin'] = 'http://127.0.0.1:8002' # 8002端口是当前项目的

return obj

Python

复制

新Django项目templates/index.html

Title

点我

$('#btn').click(function () {

let obj = {name: 'Darker'}

$.ajax({

url: 'http://127.0.0.1:8000/user/test/',

method: 'post',

contentType: 'application/json',

headers: {authorization: 'Darker'},

data: JSON.stringify(obj),

success: function (data) {

console.log(data)

}

})

})

HTML

复制

3.中间件处理

① 在原Django项目的根路径创建mymiddle.py - 自定义中间件

from django.utils.deprecation import MiddlewareMixin

class CoreMiddle(MiddlewareMixin):

def process_response(self, request, response):

if request.method == 'OPTIONS':

response['Access-Control-Allow-Headers'] = 'Content-Type, authorization' # 如果是 * 就代表全部IP都可以访问

response['Access-Control-Allow-Origin'] = '*'

return response

Python

复制

② 在原Django项目的dev.py的中间件中添加自定义中间件

MIDDLEWARE = [

'django.middleware.security.SecurityMiddleware',

'django.contrib.sessions.middleware.SessionMiddleware',

'mymiddle.CoreMiddle', # 这一句

'django.middleware.common.CommonMiddleware',

# 'django.middleware.csrf.CsrfViewMiddleware',

'django.contrib.auth.middleware.AuthenticationMiddleware',

'django.contrib.messages.middleware.MessageMiddleware',

'django.middleware.clickjacking.XFrameOptionsMiddleware',

]

Python

复制

③ 原Django项目apps/user/views中替换成如下代码

from django.http import JsonResponse

def test(request):

return JsonResponse({'name': 'Darker', 'age': '18'})

Python

复制

三:解决跨域问题(第三方)

1.后端配置

① 后端安装跨域模块

pip install django-cors-headers

Shell

复制

② 到dev.py中进行注册

INSTALLED_APPS = (

...

'corsheaders'

)

Python

复制

③ 到dev.py中添加中间件

MIDDLEWARE = [

...

'corsheaders.middleware.CorsMiddleware',

'django.middleware.common.CommonMiddleware', # 这个是原本就存在的

...

]

Python

复制

④ 到dev.py中添加如下代码

CORS_ALLOW_CREDENTIALS = True

CORS_ORIGIN_ALLOW_ALL = True

# CORS_ORIGIN_WHITELIST = (

# 'http://127.0.0.1:8080',

# )

CORS_ALLOWED_ORIGINS_REGEXES=[

r'^http://.*?$',

]

# CORS_ORIGIN_REGEXES_WHITELIST = (

# r'^http://.*?$',

# )

CORS_ALLOW_METHODS = (

'DELETE',

'GET',

'OPTIONS',

'PATCH',

'POST',

'PUT',

'VIEW',

)

CORS_ALLOW_HEADERS = (

'XMLHttpRequest',

'X_FILENAME',

'accept-encoding',

'authorization',

'content-type',

'dnt',

'origin',

'user-agent',

'x-csrftoken',

'x-requested-with',

'Pragma',

)

Python

复制

⑤ 设置dev.py的ALLOWED_HOSTS

ALLOWED_HOSTS = ['*']

Python

复制

2.后端测试

① (测试 - 后台)到apps/user/views中替换成如下代码

from django.http import JsonResponse

def test(request):

return JsonResponse({'name': 'Darker', 'age': '18'})

Python

复制

② (测试 - 后台)到apps/user/urls中替换成如下代码

from django.urls import path

from user import views

urlpatterns = [

path('test/', views.test),

]

Python

复制

③ 启动项目

python manage.py runserver 127.0.0.1:8000

Shell

复制

④ 访问测试

3.前端测试

① (测试 - 前台)App.vue 中换成如下代码

{{name}}

export default {

data () {

return {

name: []

}

},

mounted () {

this.$axios.get(this.$settings.base_url + '/user/test/').then(res => {

this.name = res.data

})

}

}

HTML

复制

② 启动项目

npm run serve

Shell

复制

4.测试效果

四:解决跨域问题(前端)

1.前端App.vue

我是主页

{{info}}

export default {

name: 'Home',

data () {

return {

info: []

}

},

mounted () {

this.$axios.get('/moreClassicList?sortId=1&showType=3').then(res => {

console.log(res.data)

})

}

}

HTML

复制

2.前端项目根路径的vue.config.js

const webpack = require("webpack");

module.exports = {

configureWebpack: {

plugins: [

new webpack.ProvidePlugin({

$: "jquery",

jQuery: "jquery",

"window.jQuery": "jquery",

"window.$": "jquery",

Popper: ["popper.js", "default"]

})

]

},

devServer: {

proxy: {

'/ajax': {

target: 'https://m.maoyan.com/',

changeOrigin: true

},

'/user': {

target: 'http://127.0.0.1:8000',

changeOrigin: true

}

}

}

};

PLEASEJUM爬
关注
python解决跨域问题_Python学习————跨域问题及解决
weixin_39716088的博客
12-04 1480
跨域问题及解决# xss:跨站脚本攻击,cors:跨域资源共享,csrf:跨站请求伪造# 1 同源策略:请求的url地址,必须与浏览器上的url地址处于同域上,也就是域名,端口,协议相同.# 2 CORS:跨域资源共享,允许不同的域来我的服务器拿数据# 3 CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)只要同时满足以下两大条...
python解决跨域问题_关于python 跨域处理方式详解
weixin_39867708的博客
12-04 2442
因为浏览器的同源策略限制,不是同源的脚本不能操作其他源下面的资源,想操作另一个源下面的资源就属于跨域了,这里说的跨域是广义跨域,我们常说的代码中请求跨域,是狭义的跨域,即在脚本代码中向非同源域发送http请求浏览器的同源策略(SOP/same origin policy)是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS(跨站脚本攻击 cross site scripti...
Python项目跨域问题解决方案
12-17
1.可以通过settings/dev.py的ALLOWED_HOSTS,设置允许访问 # 设置哪些客户端可以通过地址访问到后端 ALLOWED_HOSTS = [ 'api.luffycity.cn', ] 2.安装跨域模块(一下代码修改都是在settings.dev下进行的) pip install django-cors-headers -i https://pypi.douban.com/simple 添加应用   INSTALLED_APPS = (   ...   'corsheaders',   ...   ) 中间件设置【必须写在第一个位置】 MIDDLEWARE
python中文乱码如何处理、如何处理跨域_关于python 跨域处理方式详解
weixin_39736007的博客
11-29 244
因为浏览器的同源策略限制,不是同源的脚本不能操作其他源下面的资源,想操作另一个源下面的资源就属于跨域了,这里说的跨域是广义跨域,我们常说的代码中请求跨域,是狭义的跨域,即在脚本代码中向非同源域发送http请求浏览器的同源策略(SOP/same origin policy)是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS(跨站脚本攻击 cross site scripti...
内网安全:跨域攻击
最新发布
8888的博客
08-18 1457
mimikatz kerberos::golden /domain:子域 /sid:子域SID /sids:父域-519 /rc4:信任密钥 /user:任意用户 /service:krbtgt /target:父域 /ticket:subdc_administrator.kirbi。Kerberos::golden /user:administrator /domain:当前域名 /sid:当前SID /sids:目标域SID519 /krbtgt:krbtgt散列 /ptt。查看当前域中计算机的权限。
python web开发中跨域问题的解决思路
weixin_30357231的博客
09-02 236
线上环境不存在跨域问题,nginx转发 解决思路: 1.什么是跨域 在浏览器窗口中,和某个服务端通过某个 “协议+域名+端口号” 建立了会话的前提下,去使用与这三个属性任意一个不同的源提交了请求,那么浏览器就认为你是跨域了违反了浏览器的同源策略 2.如何解决:3种方法 方法1:安装django-cors-headers 下载django-cors-header pi...
python跨域问题
weixin_45830745的博客
03-16 493
公司实际开发遇到的
python解决跨域_Python | 跨域
weixin_39925031的博客
12-16 1564
今日目标:带你们领略跨域的奥秘~1,为什么会出现跨域问题?2,跨域的定义是什么?3,如何避免跨域?我们平常写代码的时候,应该很少碰到这个问题,因为所有的逻辑代码都是写在同一个项目中,那到底什么时候会出现跨域?其实这里面牵涉到一个同源策略问题,接下来我们先探讨一下同源策略,接着进一步解析跨域。同源策略是浏览器的一个安全功能,不同源的客户端脚本(js文件)在没有明确授权的情况下,不能读写对方资源。只有...
python 关于跨域问题
weixin_30768661的博客
03-07 250
测试跨域问题:1、编写一个view(jsonp)跳转到模板2、模板使用ajax请求一个地址(do_jsonp)3、编写一个view(do_jsonp)返回json串4、测试,如果是同源下进行ajax请求可以获取数据,如果把请求的域名改成localhost那么就会出现一个错误,不能访问其他域名下的数据的错误 解决方案: 1、使用jsonp解决 就是通过客户端js动态创建一个script标签,里面...
python解决跨域问题_python 关于跨域问题
weixin_39879665的博客
12-04 998
测试跨域问题:1、编写一个view(jsonp)跳转到模板2、模板使用ajax请求一个地址(do_jsonp)3、编写一个view(do_jsonp)返回json串4、测试,如果是同源下进行ajax请求可以获取数据,如果把请求的域名改成localhost那么就会出现一个错误,不能访问其他域名下的数据的错误解决方案:1、使用jsonp解决就是通过客户端js动态创建一个script标签,里面编写一个s...
python跨域攻击教学_关于python 跨域处理方式详解
weixin_33239386的博客
02-11 153
因为浏览器的同源策略限制,不是同源的脚本不能操作其他源下面的资源,想操作另一个源下面的资源就属于跨域了,这里说的跨域是广义跨域,我们常说的代码中请求跨域,是狭义的跨域,即在脚本代码中向非同源域发送http请求浏览器的同源策略(SOP/same origin policy)是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS(跨站脚本攻击 cross site scripti...
python前后端跨域请求问题
高压锅博客
05-13 4823
python前后端跨域请求问题 一、 Access-Control-Allow-Origin 方法1:使用 response.setHeader(“Access-Control-Allow-Origin”,"*"); 可以解决 目前的浏览器为了数据的安全,所有请求被严格限制在同一域名下,如果需要从不同的服务器(不同域名)上获取数据,那么需要使用跨域HTTP请求。 实现跨域的方式是在请求的目标网站后台中(以java servlet为例)添加如下代码: response.setHeader("Access-
python跨域攻击教学_解决Django的跨域问题(基于python3)
weixin_39922534的博客
02-11 139
setting.py 详细配置(需配置相同,不然仍会出错)"""Django settings for douban project.Generated by 'django-admin startproject' using Django 1.8.16.For more information on this file, seehttps://docs.djangoproject.com/en/...
chatgpt赋能pythonPython跨域问题及解决方案
weixin_45566993的博客
06-29 1036
在Web开发中,跨域问题指的是从一个域获取资源时的跨域请求问题。例如,在您的Web应用程序中,您可能有两个不同的域:一种是主站点,在这里您的应用程序运行,另一种是API站点,您的应用程序需要从API站点获取数据。如果您尝试从JavaScript中使用AJAX请求使用的API站点来获取数据,则可能会发生跨域问题,因为两个域不同。本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc大模型,只是展现它原本的实力。
Python django解决跨域请求的问题
Codeoooo 博客
06-15 2229
使用Ajax获取json数据时,存在跨域的限制。不过,在Web页面上调用js的script脚本文件时却不受跨域的影响,JSONP就是利用这个来实现跨域的传输。因此,我们需要将Ajax调用中的dataType从JSON改为JSONP(相应的API也需要支持JSONP)格式。另外还从网上看到其他两种解决方案,但都不太合适。在此列出,供大家参考。JSONP只能用于GET请求。
玩转Python!一文详述Python 的高性能使用技巧
深度学习技术前沿
05-08 265
关注上方“深度学习技术前沿”,选择“星标公众号”,资源干货,第一时间送达!作者:张皓知乎链接:https://zhuanlan.zhihu.com/p/48293468本文仅供参考学习,...
AJAX跨域简单讲解【Python版】
weixin_33979745的博客
05-03 190
总结自慕课网:ajax跨域完全讲解,并且原视频中后台为JAVA,这里改成了Python。 什么是AJAX跨域 只要协议、域名、端口有任何一个不同,都被当作是不同的域,不同域之间的请求就是跨域操作。AJAX跨域就是AJAX在A域下对B域发送了请求,一般情况下会被浏览器禁止。 例如,后台开启两个Flask服务器ServerA(port=80...
python爬虫跨域_python 跨域处理方式
09-09
Python爬虫跨域一般指的是在使用Python进行网页数据抓取时,如果被抓取的网页存在跨域限制,需要进行相应的处理。下面是几种常见的处理方式: 1. 设置请求头:有些网站会通过检查请求头中的Referer字段来判断是否是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值