csrf攻击ajax,六十六:CSRF攻击与防御之CSRF防御之ajax防御和ajax封装(示例代码)

最新推荐文章于 2022-05-10 19:47:25 发布
最新推荐文章于 2022-05-10 19:47:25 发布
阅读量142 收藏
点赞数
文章标签: csrf攻击ajax

app里面还是要绑定CSRFProtect

ee1f58e07618465e86d851da1cd07850.jpg

from flask_wtf import CSRFProtect # flask_wtf 已经提供CSRF的防御手段

CSRFProtect(app) # 绑定app

登录页的js

097dbb1258e54082954d57483f0422f8.jpg

$(function () {

$(\'#submit\').click(function (event) {

event.preventDefault(); // 阻止默认form提交表单行为

var email = $(\'input[name=email]\').val();

var password = $(\'input[name=password]\').val();

var csrf_token = $(\'input[name=csrf_token]\').val();

// ajax

$.post({

\'url\': \'/login/\',

\'data\': {

\'email\': email,

\'password\': password,

\'csrf_token\': csrf_token

},

\'success\': function (data) {

console.log(data)

},

\'fail\': function (error) {

console.log(error)

}

});

});

});

在页面里面引入js

44ca5d1c38de4d55802460c69f30324a.jpg

登录
邮箱:
密码:

请求页面

2d2aa9e06e8f4f5c84ceb85056597227.jpg

3af8b6983cdd4ca99ea852aa0faaf485.jpg

以上方法虽能使用csrf_token防御,可需要在每一个提交页面都写,flask推荐的方式是将csrf_token()放到meta标签下下,发送数据时,放到头部信息中

使用jinja的模板继承功能,base模板:

209fa44364ee4aa9894fc79c472431bc.jpg

Title

{% block head %}{% endblock %}

导航条

{% block body %}{% endblock %}

底部

登录页继承base模板

c80783ccb6154fecb0b73816033ac778.jpg

{% extends \'base.html\' %}

{% block head %}

{% endblock %}

{% block body %}

邮箱:
密码:

{% endblock %}

登录页的js,将csrf放到头部信息

ed0ca22129324fbbbc56d6401ed19c83.jpg

$(function () {

$(\'#submit\').click(function (event) {

event.preventDefault(); // 阻止默认form提交表单行为

var email = $(\'input[name=email]\').val();

var password = $(\'input[name=password]\').val();

var csrf_token = $(\'meta[name=csrf_token]\').attr(\'content\');

//设置头部信息

$.ajaxSetup({

\'beforeSend\': function (xhr, settings) {

if(!/^(GET|HEAD|OPTIPNS|TRACE)$/i.test(settings.type) && !this.crossDomain){

xhr.setRequestHeader(\'X-CSRFToken\', csrf_token)

}

}

});

// ajax

$.post({

\'url\': \'/login/\',

\'data\': {

\'email\': email,

\'password\': password,

},

\'success\': function (data) {

console.log(data)

},

\'fail\': function (error) {

console.log(error)

}

});

});

});

访问

4c5f8da5e71049909a82046a9451c841.jpg

由于每个js请求都需要在头部信息里面添加此参数,所以可以将添加头部信息拿出来封装

封装一个统一的ajax,每次自动获取csrftoken并加到头部信息中

ec40a952a9cf44c580c699a1bd66e1d8.jpg

var http = {

\'get\':function (args) {

args[\'method\'] = \'get\';

this.ajax(args);

},

\'post\':function (args) {

args[\'method\'] = \'post\';

this.ajax(args);

},

\'ajax\':function (args) { // 将头部信息放到请求

this._ajaxSetup();

$.ajax(args);

},

\'_ajaxSetup\':function(){ // 将csrftoken放到头部信息

$.ajaxSetup({

\'beforeSend\': function (xhr, settings) {

if(!/^(GET|HEAD|OPTIPNS|TRACE)$/i.test(settings.type) && !this.crossDomain){

var csrf_token = $(\'meta[name=csrf_token]\').attr(\'content\'); // 获取csrf_token

xhr.setRequestHeader(\'X-CSRFToken\', csrf_token)

}

}

});

}

};

登录页的js,使用自定义的ajax机制

1960b0223a5f4d238ce4bc6adb13cc7a.jpg

$(function () {

$(\'#submit\').click(function (event) {

event.preventDefault(); // 阻止默认form提交表单行为

var email = $(\'input[name=email]\').val();

var password = $(\'input[name=password]\').val();

// 使用自定义的ajax

http.post({

\'url\': \'/login/\',

\'data\': {

\'email\': email,

\'password\': password,

},

\'success\': function (data) {

console.log(data)

},

\'fail\': function (error) {

console.log(error)

}

});

});

});

base模板中导入ajax的js

2e6e6d4ee33545a2bd5188f2b9c29026.jpg

Title

{% block head %}{% endblock %}

导航条

{% block body %}{% endblock %}

底部

请求

4c2a4dcf0d144e43877cbd9c1a7eb28c.jpg

41c6c47c25664013a009c584515605b9.jpg

066a07db4953480f87745a30fd1d9f5f.jpg

这样发送请求的时候使用自己封装的ajax就可以实现每次发送请求的时候自动在头部信息加上csrftoken信息

请你吃草莓蛋挞
关注
CSRF防御
yun_ld的博客
08-24 2046
上一篇文章介绍什么是CSRFCSRF-跨站请求伪造【Java】。 CSRF通常从第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己网站针对CSRF的防护能力来提升安全性。 上文中讲了CSRF的两个特点: CSRF(通常)发生在第三方域名。 CSRF攻击者不能获取到Cookie等信息,只是使用。 针对这两点,我们可以专门制定防护策略,如下: 阻止不明...
csrf java随机数_前后端分离架构下CSRF防御机制
weixin_36454202的博客
02-25 384
背景1、什么是CSRF攻击?这里不再介绍CSRF,已经了解CSRF原理的同学可以直接跳到:“3、前后端分离下有何不同?”。不太了解的同学可以看这两篇对CSRF介绍比较详细的参考文章:如果来不及了解CSRF的原理,可以这么理解:有一个人发给你一个搞(mei)笑(nv)图片链接,你打开这个链接之后,便立刻收到了短信:你的银行里的钱已经转移到这个人的帐户了。2、有哪些防御方案?上面这个例子当然有点危言耸...
java ajax csrf,切记ajax中要带上AntiForgeryToken防止CSRF攻击
weixin_33212486的博客
03-11 209
经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和 input 中。我们在ajax post中也带上AntiForgeryToken@model WebApplicat...
ajax封装请求头,Django之ajax(jquery)封装(包含 将 csrftoken 写入请求头方法)
weixin_36090805的博客
08-06 451
由于支持问题,未使用 es6 语法_ajax.js/*** 发起请求* @param url 请求地址* @param data 请求数据 { } json格式* @param type 请求类型 get|post* @param success 请求成功回调方法(如果支持es6,使用 Promise 更方便)* @param fail 请求失败回调方法*/function jqAjax(u...
flask中使用CSRFProtect
python_tty的专栏
03-29 2809
csrf是跨站请求伪造攻击,它的原理是诱导用户浏览器访问已经认证过的网站,从而实现自己的攻击目的,危害性很大,所以我们在网站开发过程中要加入csrf保护。现在的web框架都提供了相应的csrf protect方法。 falsk中csrf protect使用: from flask_wtf.csrf import CSRFProtect csrf = CSRFProtect(app) ...
Flask实现CSRF保护
rongDang的博客
07-17 1万+
  参考官方文档  CSRF跨站请求伪造,源于WEB的隐式身份验证机制,WEB的身份验证机制虽然可以抱着一个请求时来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。  例如,用户登录受信任的网址A,在本地生成了Cookie,在Cookie没有失效的情况下去访问了危险网站B,B可能会盗用你的身份,以你的名义去发送恶意请求,邮件,盗取你的账号,设置购买商品,造成你个人隐私泄露,已经财产安...
Flask-9 CSRF保护
xy_best_的博客
05-10 294
目录为什么需要 CSRF?实现AJAX故障排除 为什么需要 CSRF? Flask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为了能够让所有的视图函数受到 CSRF 保护,你需要开启 CsrfProtect 模块: from flask_wtf.csr
浅析jQuery Ajax通用js封装
10-22
此外,合理的封装还能有效避免潜在的安全风险,如XSS(跨站脚本攻击)和CSRF(跨站请求伪造)等。 11. 测试和验证:文章还提到,封装Ajax类已经过测试验证,可以直接调用。在实际开发中,对封装代码进行充分的...
ajax_uploader:Ajax图像上传器PHP和Javascript源代码-ajax source code
03-25
7. **安全措施**:防止跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等,确保用户数据的安全。 【标签解析】 "系统开源"表明这个Ajax_uploader是一个开放源码的项目,意味着它的源代码可供公众查看、学习和修改。这为...
jQuery 封装Ajax
03-23
- 安全性:注意XSS和CSRF攻击,使用正确的编码和验证机制。 在项目中,我们通常会封装自己的Ajax函数,以便更好地组织代码和复用。在提供的文件中,`common_gui.js`可能包含了自定义的Ajax封装,而`jquery.json-2.2...
Flask form表单和ajax开启CSRF保护
qq_35549440的博客
08-11 1351
 不要把HTML文件放在static,不然密钥无法获取。测试不行记得清缓存。 1. form表单开启需要2步  首先在启动文件加入 CSRFProtect(app) from flask import Flask from flask.ext.bootstrap import Bootstrap #定义app对象 app=Flask(__name__) #开启保护 from flask_...
Flask-WTF的CSRF保护详解
qq769747518的博客
08-11 3494
CSRF 保护 这部分文档介绍了 CSRF 保护。 为什么需要 CSRF? Flask-WTF 表单保护你免受 CSRF 威胁,你不需要有任何担心。尽管如此,如果你有不包含表单的视图,那么它们仍需要保护。 例如,由 AJAX 发送的 POST 请求,然而它背后并没有表单。在 Flask-WTF 0.9.0 以前的版本你无法获得 CSRF 令牌。这是为什么我们要实现 CSRF。 实现 为...
ajax 原生js封装ajax [转]
weixin_30586085的博客
04-01 170
/* 封装ajax函数* @param {string}opt.type http连接的方式,包括POST和GET两种方式* @param {string}opt.url 发送请求的url* @param {boolean}opt.async 是否为异步请求,true为异步的,false为同步的* @param {object}opt.data 发送的参数,格式为对象类型* @param...
Flask框架在Ajax请求中开启CSRF保护
kikaylee的专栏
03-19 3327
前面Flask学习总结笔记(5)– Form表单中对表单提交中开启CSRF保护进行了详细讲解。虽然Ajax不同于表单提交,但是我们同样可以手动利用相同的办法,开启CSRF保护。
Flask中的CSRF保护
宇宙有只 AGI 的博客
12-06 275
一、全局CSRF保护 from flask_wtf import CSRFProtect CSRFProtect(app) 二、蓝图CSRF保护过滤 from flask_wtf import CSRFProtect ...
ajax头文件报错,AJAXCSRF保护
weixin_26870929的博客
08-06 423
如果使用ajax传输数据,需要在AJAX中要使用csrf保护。一般而言,即在后端已经使用了CSRFProtect(app)的前提下,如果想使用ajax,避免400的报错,可以前端的表单里引入标签,如下所示login.html然后在js中的ajax代码块中将csfr包裹起来:login.js$(function () {$('#submit').click(function (event) {// ...
python flask web 新闻项目 开启csrf保护
qq_48082548的博客
10-24 206
开启csrf保护有两种方法,我们用第二种在Ajax添加请求头: Ajax添加请求头: headers:{'X-CSRFToken':getCookie('csrf_token')}, 后台在创建app的函数中写入: from flask_wtf import CSRFProtect from flask_wtf.csrf import generate_csrf CSRFProtect(app) @app.after_request def after_request(response):
Flask 中的CSRF保护
Zhan_y_y的博客
04-23 1777
1.开启CSRF保护在创建app实例时 from flask_wtf.csrf import CSRFProtect def get_app(config_name): # 创建实例 app = Flask(__name__) # 开启csrf保护 CSRFProtect(app)2.对页面HTML加上csrf_token的标签@html_blue.route(...
flask csrf保护的使用技巧
热门推荐
李余通的博客
10-16 1万+
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 ——百度百科 网上关于csrf攻击的一个最典型的例子是银行通过url+参数转钱的问题,很好理解。flask 作为一个强带的web微框架,自然也是支持防范csrf攻击的。通过Flask-WT
深入解析SpringBoot与Ajax实现前后端高效交互
8. 安全性考虑:虽然Spring Boot和Ajax本身不直接提供安全机制,但了解如何集成Spring Security来保护API免受未授权访问,以及如何防范常见的网络攻击(如XSS和CSRF攻击)。 9. 响应式编程:了解Spring WebFlux和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值