crsf-token表单防护

已于 2023-11-05 21:34:00 修改
阅读量230 收藏
点赞数
文章标签: javascript 开发语言 ecmascript
于 2023-11-01 16:22:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44747173/article/details/134164162
版权

CRSF-Token

后端生成token

class CSRFTokenAPI(MethodView):
    def get(self):
        csrf_token = generate_csrf()  # 生成CSRF令牌
        response = make_response(jsonify({'csrf_token': csrf_token}))
        # response.set_cookie(httponly=True, secure=True, samesite='None')
        return response
csrf_token_view = CSRFTokenAPI.as_view('csrf_token_api')
bp.add_url_rule('/get_csrf_token/', view_func=csrf_token_view, methods=['GET'])

前端,以登录为例

async getCsrfToken() {
      try {
        const headers = {'Content-Type': 'application/json','Access-Control-Allow-Origin':'*',
          'Access-Control-Allow-Credentials':'true',};
        const response = await axios.get(`${this.backendurl}/user/get_csrf_token/`,{withCredentials: true})
      // console.log(response)
      this.csrf_token=response.data.csrf_token;
      console.log("getCsrfToken:",this.csrf_token)
      } catch (error) {
        console.error(error);
      }
    },
async login() {
      await this.getCsrfToken()
      //邮箱提示信息元素
      var email1_msg = this.$refs.email1_msg;
      //密码提示信息元素
      var pwd1_msg = this.$refs.pwd1_msg;
      //登录表单html元素
      var loginform = this.$refs.loginform;
      // console.log(this.backendurl)
      // console.log("login里面的方法:",this.csrf_token)
      //添加令牌到请求头中
      const headers = { 'X-CSRFToken': this.csrf_token,'Content-Type': 'application/json','Access-Control-Allow-Origin':'*',
          'Access-Control-Allow-Credentials':'true',};
      await axios
        .post(`${this.backendurl}/user/login/`, this.user_form,{headers:headers,withCredentials:true})
        // .post(`${this.backendurl}/user/login/`, this.user_form)
        .then((res) => {
          if (res.data["status"] === 200) {
            //从返回的数据中获取user_id
            var user_id = res.data["user_id"];
            var username=res.data["user_name"]
            var email=res.data["email"]
            // console.log(user_id,username,email)
            var userinfo={
                'user_id':user_id,
                'username':username,
                'email':email
            }
            this.$store.commit("userinfo/saveuserinfo", userinfo);
            //将user_id转成string类型
            // user_id = String(user_id);
            // console.log(user_id)
            // //将user_id加密
            // var cipherText = CryptoJS.AES.encrypt(
            //   user_id, "user_id" 
            // ).toString();
            //存入cookie,参数:存入名称,存入值,存储时长
            // this.$cookies.set("user_id", cipherText,"24d");
            this.$router.push({
              name: "system",
            });
          } else {
            this.user_form.email = res.data["email"];
            this.user_form.password = res.data["password"];
            email1_msg.innerHTML = res.data["emailtip"];
            pwd1_msg.innerHTML = res.data["passwordtip"];
            loginform.classList.add("was-validated");
          }
        });
    },

注意一个要点,就是前端输入的url,要输入数字,不要用localhost,因为前后端的ip校验是文本校验,所以写localhost的话会有跨域问题。

小脑斧ai吃肉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
betaflight-crsf-tx-scripts:脚本集,通过CRSF从TX配置Betaflight
05-09
betaflight-crsf-tx-scripts 脚本集,用于通过CRSF从TX配置Betaflight。 支持的收音机 FrSky Taranis QX7,QX7S,X9D,X9D + 安装 升级到Betaflight 3.4(内部版本792或更高版本)。 将crsfdp.lua文件复制到crsfdp...
Teino1978-Corp-spring-security-csrf-token-interceptor-
04-29
它通过默认情况下对/进行AJAX ... #安装### Via Bower $ bower install spring-security-csrf-token-interceptor###通过NPM $ npm install spring-security-csrf-token-interceptor#Usage将其作为对您的应用程序
CSRF攻击及防止
zhangmoyan9527的博客
08-14 1053
  CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。   CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证   防止 CSRF 攻...
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 692
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5861
 CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个token值Ant上CSRF(token)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
关于CSRF 和 csrftoken
猪肉炖白菜
05-08 772
CSRF 虽然利用了session验证机制的漏洞,一般使用加密token的方式防御,但是其本身和session以及JWT token没有直接联系。 描述# CSRF利用用户正常登录产生的cookie,利用钓鱼网站传给用户发送一张有内容的表单,并携带用户的正常cookies访问网站,达到将伪造的表单通过用户之手传到网站上的目的。为了避免用户提交其他网站生成的表单,网站在用户登录时签发给用户一个c...
模型遥控器 CRSF 协议数据格式
03-08
CRSF 协议数据格式详解 CRSF 协议是一种模型遥控器通信协议,主要用于飞行平台和遥控器之间的数据交换。该协议支持多种通信方式,包括单线半双工UART、双线全双工UART 和多主I2C 等。 硬件 CRSF 协议支持多种硬件...
在django中使用post方法时,需要增加csrftoken的例子
09-17
但这通常不推荐,因为这将使你的应用失去重要的安全防护。 总的来说,Django的CSRF保护机制是为了防止恶意的跨站请求,确保用户只能执行他们自己发起的操作。在使用POST请求时,无论是通过Ajax还是传统的表单提交,...
spring security CSRF防护的示例代码
08-26
-- 默认标题名称是 X-CSRF-TOKEN --> ${_csrf.headerName}" /> 使用 jQuery 提交 CSRF 令牌 然后,您可以将令牌包含在所有 Ajax 请求中。如果您使用 jQuery,可以使用以下方法完成此操作: var token = $(...
CSRF、Cookie、Session和token之间不得不说得那些事儿
besmarterbestronger的博客
10-14 5247
文章目录1. 前言2. 什么是crsf?如何防止3. 什么是cookie?有什么用?机制?4. 什么是session?有什么用?机制?5. 什么是token?有什么用?为什么能防止csrf?6. 总结7. 参考文献 1. 前言 2. 什么是crsf?如何防止 3. 什么是cookie?有什么用?机制? 4. 什么是session?有什么用?机制? 5. 什么是token?有什么用?为什么能防止cs...
web漏洞:CRSF(跨站请求伪造)
2301_79688134的博客
03-09 525
概述:在CRSF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。与上一关相同,发送的请求报文里依然没有任何验证信息,因此可以被利用,但显然,该关是POST请求,无法用上一关伪造URL的方法对其进行修改。因此,网站如果要防止CSRF攻击,则需要对敏感信息的操作实施对应的安全措施,防止这些操作出现被伪造的情况,从而导致CSRF。但抓包可以获得页面的其他有效信息,因此可以构造恶意站点,当用户在登陆状态下,误触表单,则会被修改信息。
使用axios处理Cookie、Session和Token(jwt)
stu_kk的博客
12-05 1115
使用axios处理cookie、session和token(jwt) 的笔记
axios跨域请求设置并携带Cookies
weixin_39515823的博客
11-06 1万+
when the request’s credentials mode is ‘include’.」时说当请求是携带凭据模式(即Access-Control-Allow-Credentials: true、携带Cookie)时,Response的header “Access-Control-Allow-Origin” 的值不能是“但是,接下来在域名oauth.szile.com域名下请求接口时,请求没有携带设置的Cookie,这是问什么?查看Application下Cookie,确实是没有设置成功。
axios的cookie跨域以及相关配置
qq_31620497的博客
10-31 1505
axios的cookie跨域以及相关配置 1、 带cookie请求 - 画个重点 axios默认是发送请求的时候不会带上cookie的,需要通过设置withCredentials: true来解决。 这个时候需要注意需要后端配合设置: header信息 Access-Control-Allow-Credentials:true Access-Control-Allow-Origin不可以为...
通用axios封装api,含用户登录与csrftoken封装
阿赛
01-09 87
// 初道封装 const apiConfig = { httpCode: { 400: 'Incorrect request parameter.', 401: 'Insufficient permission. Please log in again.', 403: 'The server rejects the access.', 404: 'The requested resource is not found.', 500: 'Internal ser.
XSS、CSRF、点击劫持、web应用安全实施
最新发布
wangluoanquan111的博客
05-01 799
如果放cookie要配置上httponly和secure属性,这样就防止了xss,同时其他的同源策略要多多考虑。如果选择其他方式,就要着重考虑防止xss。必须使用csrf-token,使用cookie存储,使用httponly和secure属性。每个域名入口必须配置指定域能跨域,不能写通配符。响应的html内容必须加上csp策略(响应头和meta标签形式均可),只允许本源或指定源,配置不允许内联脚本、内联css。
非同源域名axios无法携带cookie,基于问题我们深挖axios
JIANYMN的博客
03-21 3137
axios 无法携带cookie,原因竟然是withCredentials配置,重温ajax的创建步骤,并利用class类和promise特性去封装我么自己的axios
发送携带token,cookie的axios请求
小罗伯特
01-15 778
安装 js-cookie npm install js-cookie -s 在src下面创建util文件夹,并创建auth.js文件 import Cookies from 'js-cookie' const TokenKey = 'token' export function getToken() { return Cookies.get(TokenKey) } export function setToken(token) { return Cookies.set(TokenKey,.
CRSF协议详解:模型遥控器通信规范
"CRSF (Crossfire) 协议是一种用于模型遥控器通信的高效、低延迟的数据传输协议。该协议支持单线半双工UART、双线全双工UART以及多主I2C (BST) 三种硬件接口。CRSF协议旨在提供高速更新率的RC信号传输,同时实现双向...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值