CORS和CSRF--学习笔记

最新推荐文章于 2024-01-08 09:48:05 发布
最新推荐文章于 2024-01-08 09:48:05 发布
阅读量4k 收藏 36
点赞数 7
分类专栏: Javaweb 文章标签: 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45951911/article/details/110674509
版权
本文介绍了CORS、CSRF和XSS的概念、攻击原理以及它们的区别。CORS是解决跨域问题的技术,CSRF是利用用户已登录状态发起恶意请求的攻击,XSS则是通过注入恶意脚本危害用户浏览器安全。了解这些概念有助于提升Web应用安全性。
摘要由CSDN通过智能技术生成

一、CORS 和 CSRF 区别

两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍:

  • CORS : Cross Origin Resourse-Sharing 跨站资源共享

  • CSRF : Cross-Site Request Forgery 跨站请求伪造

  • XSS : Cross Site Scrit 跨站脚本攻击(为与 CSS 区别,所以在安全领域叫 XSS)

二、CORS

1、概念

跨来源资源共享(CORS),亦译为跨域资源共享,是一份浏览器技术的规范,提供了 Web服务从不同网域传来沙盒脚本的方法,以避开浏览器的同源策略,是 JSONP 模式的现代版。与 JSONP 不同,CORS 除了 GET请求方法以外也支持其他的 HTTP 请求。用 CORS 可以让网页设计师用一般的 XMLHttpRequest,这种方式的错误处理比JSONP 要来的好。另一方面,JSONP 可以在不支持 CORS 的老旧浏览器上运作。现代的浏览器都支持 CORS。

—— 维基百科

核心知识: CORS是一个W3C标准,它允许浏览器向跨源服务器,发出XMLHttpRequest 请求,从而克服 AJAX 只能同源使用的限制。

因此,实现 CORS 通信的关键是服务器。只要服务器实现了 CORS 接口,就可以跨源通信,即为了解决跨域问题。

最低0.47元/天 解锁文章
Aussie_
关注
专栏目录
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
学习笔记 ----- SpringBoot,Vue 前后端分离的 CORS 跨域请求处理
m0_52622312的博客
12-17 740
在写springboot前后端分离的项目的时候,经常会遇到cors跨域问题,因此在这里记下,在之后遇到此类问题时也能够更方便的找到解决方案
CORSCSRF
myli92的博客
05-12 555
一、CORSCSRF 区别 CORS(Cross Origin Resource Sharing)跨域资源分享 CORS是一种机制,通过在HTTP响应头中加入特定字段限制不同域的资源请求CSRF(Cross Site Request Forgery)跨站请求伪造 CSRF(Cross Site Request Forgery)跨站请求伪造 CSRF 是一种web攻击手段,通过向服务器发送伪造请求,进行恶意行为的攻击手段 XSS : ...
CORSCSRF
fitzleopard的博客
06-16 3084
本文首发于我的Github博客 本篇文章介绍了CORSCSRF的概念(作者前几天在和带佬们聊天的时候把两个概念搞混了,所以才想要了解),简单来说: CORS(Cross Origin Resource Sharing)跨域资源分享 是一种机制,通过在HTTP响应头中加入特定字段限制不同域的资源请求 CSRF(Cross Site Request Forgery)跨站请求伪造 是一种web攻击手段,通过向服务器发送伪造请求,进行恶意行为的攻击手段 CORS(Cross Origin Resource
CSRFCORS
qq_29454347的博客
08-14 442
CSRF定义 https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF) 主要原因:不合法的CORS请求的结果虽然会被浏览器阻止,但是整个http请求是完成的(且请求带有域的cookie) 举例,一个URL是银行转账操作,参数是金额和需要转账的户头。把这个url放在黑客网站的<img src="">中,虽然黑...
网络安全杂谈- CORS/CSRF/XSS
最新发布
wuli1024的博客
01-08 1737
出于浏览器的同源策略限制,浏览器会拒绝跨域请求。同源: 域名、端口、协议都相同,称为同源。
Nginx学习笔记(六)Nginx实现跨域(cors)访问(2种方案)
热门推荐
nuaa042216的博客
10-07 1万+
Nginx实现跨域访问
生命在于学习——Cors漏洞
易水哲的博客
09-05 2537
Cors漏洞的学习笔记记录。
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 2915
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
web前后端漏洞分析与防御(二)-CSRF
空默寒的博客-学习和积累
07-29 512
跨站请求伪造攻击CSRF(Cross Site Request Forgy) SRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:        攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统...
csrfcors有啥关系
m0_57236802的博客
12-02 552
CSRF(Cross-Site Request Forgery)和 CORS(Cross-Origin Resource Sharing)虽然听起来类似,但实际上它们处理的是两个完全不同的安全问题。定义:防御机制:定义:使用场景:实现方式:关系:区别:简而言之,CSRF 关注的是防止恶意网站利用用户的登录状态执行不安全的操作,而 CORS 关注的是允许安全、受控的跨源资源访问。
什么是csrfcors?有啥区别?
m0_73302761的博客
07-21 832
本文参考 原文链接:https://blog.csdn.net/weixin_47450807/article/details/123227342跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CORS(Cross-Origin Resource Sharing, 跨源资源共享)当一个请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。因此,要想实现CORS进行跨域需要服务器进行一些设置,同时前端也需要做一些配置和分析。
CORS(跨域源资源共享)&&CSRF(Cross-site request forgery)跨站请求伪造简介
qq_37432174的博客
08-09 654
我们知道协议、域名、端口其中有一项不同,与路径不同无关,则为不同源,不同源的URL发送请求则为跨域请求。在浏览器中跨域采用同源策略。同源策略不仅是前端的问题。 传统的方法是通过jsonp,或者JS的JSONP 虽然能解决跨域但是有一个很大的局限性,那就是只支持 GET 请求,不支持其他类型的请求。 这里我们在SpringBoot中使用CORS来解决同源策略 CORS(跨域源资源共享)(CORS,C...
AJAX, CSRF & CORS
Nancy 博客
01-10 355
使用 AJAX,CSRFCORS (Working with AJAX, CSRF &amp; CORS) “仔细查看您自己网站上可能存在的 CSRF / XSRF 漏洞。它们是最糟糕的一种漏洞——很容易被攻击者利用,但对软件开发人员来说却不那么直观易懂,至少在您被攻击之前是这样。” —— Jeff Atwood Javascript 客户端 (Javascript clients) 如果您...
Django面试题——CSRFCORS的区别
python全栈
08-02 664
1、在用户访问django的可信站点时,django反馈给用户的表单中有一个隐含字段csrftoken,这个值是在服务器端随机生成的,每一次提交表单都会生成不同的值2、当用户提交django的表单时,服务器校验这个表单的csrftoken是否和自己保存的一致,来判断用户的合法性3、当用户被csrf攻击从其他站点发送精心编制的攻击请求时,由于其他站点不可能知道隐藏的csrftoken字段的信息这样在服务器端就会校验失败,攻击被成功防御。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值