ajax、json、csrf是什么

最新推荐文章于 2024-06-20 16:11:11 发布
最新推荐文章于 2024-06-20 16:11:11 发布
阅读量457 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44675377/article/details/93326135
版权

Ajax

AJAX(Asynchronous Javascript And XML)翻译成中文就是“异步Javascript和XML”。即使用Javascript语言与服务器进行异步交互,传输的数据为XML(当然,传输的数据不只是XML)还有JSON数据。
AJAX还有一个最大的特点就是,当服务器响应时,不用刷新整个浏览器页面,而是可以局部刷新。这一特点给用户的感受是在不知不觉中完成请求和响应过程。
应用场景:
(1)、搜索引擎关键字
(2)、注册时信息校验
在这里插入图片描述

ajax使用

使用ajax 来验证用户名是否已经被注册过了。
在这里插入图片描述

<script>
    $(function () {
        {#alert("ahah");#}
        $("#name").blur(function () {
            {#alert("哈哈");#}
            $.ajax({
                "url": "/register_ajax/", // 提交的路径
                "type": "GET", // 提交方式
                "data": {"name": $("#name").val()}, // 携带的参数
                "success": function (data) { //回调函数,当请求成功后自动触发此方法
                    {#console.log(data) // data: 服务端返回的内容#}
                    {#alert(data["result"])#}
                    if (data.result == "true") {
                        {#alert("此用户已经存在...")#}
                        $("#error").text("此用户已经存在...")
                    } else {
                        $("#error").text("")
                    }
                }
            });
        })
    })
</script>
  • XML语言
    HTML用于显示数据而XML用于保存和传输数据;
    xml在保存结构化和层次化的数据比较有优势;
    例如 中国有北京和上海两个直辖市,每个市又有2个区,种具有结构的数据xml语言保存很有优势。
    在这里插入图片描述
    在这里插入图片描述
  • JSON语言

JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。
JSON去掉多余 XML标签元素,只返回有效数据部分,是一种更优的方案
官网: http://www.json.org/

Json中数据格式分成两种:对象格式的数据和数组格式的数据

对象格式: {key:value,key:value,key:value }
键:必须是字符串常量 {name : “张三”}和 {“name”:”张三”}是等价的;
值:加不加引号,是有区别的,不加引号是变量,加引号常量字符串
键值对之间使用 ” , ” 分开,键值之间用 “:”

数组格式:[值1, 值2 ,值3 ] 例如[“zs”,”ls”,”ww”]

组合后复杂格式:
[{name:‘aaa’}, {name:‘bbb’}, {name:ccc}] 表示三个对象数组

CSRF

CSRF:CSRF跨站点请求伪造(Cross—Site Request Forgery)CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。

CSRF攻击攻击原理及过程如下:

  1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
    2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
  2. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
  3. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;

CSRF防御:
现在业界对CSRF的防御,一致的做法是使用一个Token(Anti CSRF Token)。

  1. 用户访问某个表单页面。

  2. 服务端生成一个Token,放在用户的Session中,或者浏览器的Cookie中。

  3. 在页面表单附带上Token参数。

  4. 用户提交请求后, 服务端验证表单中的Token是否与用户Session(或Cookies)中的Token一致,一致为合法请求,不是则非法请求。

这个Token的值必须是随机的,不可预测的。由于Token的存在,攻击者无法再构造一个带有合法Token的请求实施CSRF攻击。另外使用Token时应注意Token的保密性,尽量把敏感操作由GET改为POST,以form或AJAX形式提交,避免Token泄露。

token字符串的前32位是salt, 后面是加密后的token, 通过salt能解密出唯一的secret。
django会验证表单中的token和cookie中token是否能解出同样的secret,secret一样则本次请求合法。
Django中配置csrf的setting文件
在这里插入图片描述
html中加csrf
在这里插入图片描述
结论:如果在django中把刚才的那句注释掉,那么html页面上不写csrf是可以的,否则会报错。

¥烟花易冷¥
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
谈谈Json格式下的CSRF攻击
Coisini的博客
06-27 4511
一、CSRF漏洞简介 csrf漏洞的成因就是网站的cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要是访问这个网站,都会默认你已经登录的状态。而在这个期间,攻击者发送了构造好的csrf脚本或包含csrf脚本的链接,可能会执行一些用户不想做的功能(比如是添加账号等)。这个操作不是用户真正想要执行的。 在post标准化格式(accounts=test&password...
Ajax&Json笔记
03-28
3. **安全性和编码**:在实际应用中,要确保JSON数据的编码正确,避免出现XSS(跨站脚本攻击)和CSRF(跨站请求伪造)等问题。 综上所述,AjaxJSON的结合使用极大地提高了Web应用的性能和用户体验。开发者可以...
前端知识点-jsonp csrf
weixin_34104341的博客
02-19 101
jsonp详解ajax的核心是通过XmlHttpRequest获取非本页内容jsonp的核心则是动态添加<script>标签来调用服务器提供的js脚本。利用script标签绕过同源策略,获得一个类似这样的数据,jsonpcallback是页面存在的回调方法,参数就是想得到的json。参考文章:http://www.cnblogs.com/yuzhongwusan/...
$.ajax()方法详解
最新发布
以夢爲馬的博客
06-20 1002
jquery中的ajax方法参数比较多,总是记不住,这里整理一下。
json csrf html5,谈谈Json格式下的CSRF攻击
weixin_42449311的博客
06-28 454
原标题:谈谈Json格式下的CSRF攻击一、CSRF漏洞简介csrf漏洞的成因就是网站的cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要是访问这个网站,都会默认你已经登录的状态。而在这个期间,攻击者发送了构造好的csrf脚本或包含csrf脚本的链接,可能会执行一些用户不想做的功能(比如是添加账号等)。这个操作不是用户真正想要执行的。在post标准化格式(accounts=t...
一次渗透测试引发Json格式下的CSRF攻击
0xdawn的博客
06-24 1346
0x00 前言 漏洞背景 hw时期在电信三巨头之一旗下的子公司出差,做一下渗透测试。公网的业务主挖逻辑漏洞,但是每次挖着挖着就变成了CSRF攻击,出差半个月算是把这辈子的CSRF都给挖完了。 testme师傅说的一句话:开发者修或不修,挖洞者觉得鸡肋不鸡肋,CSRF漏洞就躺着那里。这一次的体会很深,某云基本所有的业务逻辑都存在CSRF洞。 CSRF原理 还是来梳理一下大致的流程 1.用户C浏览并登录信任网站A 2.验证通过,Web A产生一个Cookie返回给用户C 3.用户在没有等处的情况下访问Web
CSRFAjax请求
weixin_34107955的博客
02-15 381
A:Ajax提交数据是,携带的CSRF在data中:    <form method="POST" action="/csrf.html"> {% csrf_token %} <input id="user" type="text" name="user" /> <input type="submit" value="提交"/&g...
Ajax中使用JSON传输数据
03-06
JSON(JavaScript Object Notation)作为一种轻量级的数据交换格式,因其易读性、易写性和高效性,成为了Ajax通信中数据传输的首选格式。本篇文章将深入探讨在Ajax中如何使用JSON来传输数据,以及涉及到的相关工具和...
django框架中ajax的使用及避开CSRF 验证的方式详解
09-18
在Django框架中,使用Ajax可以实现前端与后端的异步交互,提高用户体验,而CSRF(Cross-site request forgery,跨站请求伪造)验证是Django为了防止恶意第三方模拟用户发送请求的一种安全机制。然而,有些情况下,...
前台ajax与后台json传递
11-08
"前台Ajax与后台Json传递"这个主题就是关注如何高效地实现这一交互过程。Ajax(Asynchronous JavaScript and XML)技术允许我们在不刷新整个页面的情况下,实现局部数据的更新,而Json(JavaScript Object Notation...
ajax json示例
12-16
**标题解析:** "ajax json示例" 指的是一种使用JavaScript的AJAX(异步JavaScript和XML)技术与服务器进行数据交换的实例,其中数据格式为JSON(JavaScript Object Notation)。JSON是一种轻量级的数据交换格式,因...
Csrf再识及初识Json劫持
云舒的博客
03-01 574
认识csrfjson劫持
CSRF技巧拓展】————3、关于JSON CSRF的一些思考
Fly_鹏程万里
01-23 763
CSRF作为常见漏洞,一直受到关注和研究,JSON是一种应用广泛的轻量级数据交换格式,当CSRF去POST一段JSON,情况可能会变得有些不一样;此次就一种特殊情况下的CSRF进行分析,权当抛砖引玉。  某次遇到一个没有验证token与referer的CSRF。 其原始数据包为: POST /webnet/edit HTTP/1.1 Host: www.xxx.com User-Agent...
json csrf html5,JSON CSRF新姿势(示例代码)
weixin_29817863的博客
06-28 149
微信公众号:安全文库测试的时候,当应用程序验证了Content-type和data format,这种新姿势依然可以可以使用flash和307重定向来实现JSON CSRF。要求:1 制作一个Flash文件2制作一个跨域XML文件3制作一个具有307状态码的PHP文件制作FLASH文件:这个flash(.swf)文件有我们需要POST的json格式的数据,攻击者必须在目标应用程序上发布,并链接到托...
CSRFJSON
weixin_30433075的博客
11-08 307
之前遇到提交json的请求想要进行csrf攻击都是用的闭合表单的方法,很笨很麻烦, 这次看到了别人的操作记录一下. 这里用到了ajax异步请求(但是这里我有个疑问就是:这里用到了cors跨域,是不是必须服务器端也支持cors且又配置错误的情况才可以用此方法?待验证) <html> <body> <script> functio...
关于JSON CSRF的一些思考
zhangge3663的博客
04-23 755
CSRF作为常见漏洞,一直受到关注和研究,JSON是一种应用广泛的轻量级数据交换格式,当CSRF去POST一段JSON,情况可能会变得有些不一样;此次就一种特殊情况下的CSRF进行分析,权当抛砖引玉。 某次遇到一个没有验证token与referer的CSRF。 其原始数据包为: POST /webnet/edit HTTP/1.1 Host: www.xxx.com User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:53.0) Gecko/201.
csrf攻击中的jsonp
标子 的专栏
08-25 1034
假设我的网站代码为                    function fun(x){       alert(x)     }             如果www.normal.com是通过jsonp的方式获取数据的,那么用户在登录www.normal.com的时候,如果访问了我的网站,那么我就能获取该用户的信息。
一次渗透测试引发的Json格式下CSRF攻击的探索
weixin_52501704的博客
03-10 567
一次渗透测试引发的Json格式下CSRF攻击的探索
CSRF,后端限定Content-Type为application/json场景下,仅支持 POST/PUT/DELETE(不支持 GET)情况下, 无法利用该漏洞
ruangongtaotao的专栏
06-21 221
作为常见漏洞,一直受到关注和研究,JSON是一种应用广泛的轻量级数据交换格式,当CSRF去POST一段JSON,情况可能会变得有些不一样;参照外国基佬的做法,我们可以给value赋值从而对这个“=”后面的数据进行补全,使得其构成一个完整的JSON格式,可避免解析器报错(JSON Padding)。很明显,这是个编辑某种信息的操作,POST的是一段JSON,且没有对token和referer的验证 .不过这样POST的数据包会多一个"=“,因为我们虽然把value置为空,然后还是会出现"name=”。
ajax post json请求,报403 Forbidden-null
07-08
当在使用 Ajax 发送 POST 请求时遇到 "403 Forbidden-null" 错误,通常是由于 CSRF(Cross-Site Request Forgery)保护机制引起的。 Django 默认开启了 CSRF 保护,要在发送非 GET 请求时包含正确的 CSRF Token。你...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值