CORS和CSRF--学习笔记

最新推荐文章于 2024-01-08 09:48:05 发布
最新推荐文章于 2024-01-08 09:48:05 发布
阅读量3.8k 收藏 36
点赞数 7
分类专栏: Javaweb 文章标签: 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45951911/article/details/110674509
版权

一、CORS 和 CSRF 区别

两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍:

  • CORS : Cross Origin Resourse-Sharing 跨站资源共享

  • CSRF : Cross-Site Request Forgery 跨站请求伪造

  • XSS : Cross Site Scrit 跨站脚本攻击(为与 CSS 区别,所以在安全领域叫 XSS)

二、CORS

1、概念

跨来源资源共享(CORS),亦译为跨域资源共享,是一份浏览器技术的规范,提供了 Web服务从不同网域传来沙盒脚本的方法,以避开浏览器的同源策略,是 JSONP 模式的现代版。与 JSONP 不同,CORS 除了 GET请求方法以外也支持其他的 HTTP 请求。用 CORS 可以让网页设计师用一般的 XMLHttpRequest,这种方式的错误处理比JSONP 要来的好。另一方面,JSONP 可以在不支持 CORS 的老旧浏览器上运作。现代的浏览器都支持 CORS。

—— 维基百科

核心知识: CORS是一个W3C标准,它允许浏览器向跨源服务器,发出XMLHttpRequest 请求,从而克服 AJAX 只能同源使用的限制。

因此,实现 CORS 通信的关键是服务器。只要服务器实现了 CORS 接口,就可以跨源通信,即为了解决跨域问题。

最低0.47元/天 解锁文章
Aussie_
关注
  • 7
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
web前后端漏洞分析与防御(二)-CSRF
空默寒的博客-学习和积累
07-29 474
跨站请求伪造攻击CSRF(Cross Site Request Forgy) SRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:        攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统...
Dream-jing:全栈学习总结
03-19
"Dream-jing:全栈学习总结"这个标题暗示了这是一个关于全栈开发的学习笔记或者项目,可能是某位开发者在学习全栈技术的过程中积累的经验与知识结晶。"梦境"可能寓意着开发者在学习过程中不断探索和构建技术世界的...
CORSCSRF
fitzleopard的博客
06-16 2959
本文首发于我的Github博客 本篇文章介绍了CORSCSRF的概念(作者前几天在和带佬们聊天的时候把两个概念搞混了,所以才想要了解),简单来说: CORS(Cross Origin Resource Sharing)跨域资源分享 是一种机制,通过在HTTP响应头中加入特定字段限制不同域的资源请求 CSRF(Cross Site Request Forgery)跨站请求伪造 是一种web攻击手段,通过向服务器发送伪造请求,进行恶意行为的攻击手段 CORS(Cross Origin Resource
网络安全杂谈- CORS/CSRF/XSS
最新发布
wuli1024的博客
01-08 1453
出于浏览器的同源策略限制,浏览器会拒绝跨域请求。同源: 域名、端口、协议都相同,称为同源。
Django面试题——CSRFCORS的区别
python全栈
08-02 574
1、在用户访问django的可信站点时,django反馈给用户的表单中有一个隐含字段csrftoken,这个值是在服务器端随机生成的,每一次提交表单都会生成不同的值2、当用户提交django的表单时,服务器校验这个表单的csrftoken是否和自己保存的一致,来判断用户的合法性3、当用户被csrf攻击从其他站点发送精心编制的攻击请求时,由于其他站点不可能知道隐藏的csrftoken字段的信息这样在服务器端就会校验失败,攻击被成功防御。...
CORSCSRF
myli92的博客
05-12 495
一、CORSCSRF 区别 CORS(Cross Origin Resource Sharing)跨域资源分享 CORS是一种机制,通过在HTTP响应头中加入特定字段限制不同域的资源请求CSRF(Cross Site Request Forgery)跨站请求伪造 CSRF(Cross Site Request Forgery)跨站请求伪造 CSRF 是一种web攻击手段,通过向服务器发送伪造请求,进行恶意行为的攻击手段 XSS : ...
揭开AJAX神秘的面纱(AJAX个人学习笔记)第1/5页
10-29
7. **安全性考虑**:AJAX增加了攻击面,如XSS(跨站脚本攻击)和CSRF(跨站请求伪造)。了解如何通过验证、编码和使用安全的API来防止这些攻击。 学习AJAX需要时间和实践,对于初学者,建议结合书籍和在线教程,...
林信良学习笔记之-AjaxGossip
04-06
林信良的学习笔记《AjaxGossip》深入浅出地介绍了Ajax的核心概念和技术细节,对于初学者来说是一份非常实用的教程。 **Ajax基础** 1. **XMLHttpRequest对象**:Ajax的核心是XMLHttpRequest对象,它允许JavaScript...
DWR学习笔记(下载)
03-05
- **jQuery/AngularJS/React**:这些现代JavaScript库提供了更丰富的功能和更灵活的架构,但学习成本相对较高。 - **GWT(Google Web Toolkit)**:GWT也是基于Java的,但编译时将Java代码转换为JavaScript,而DWR则...
前端笔记全套分享一学期
08-07
本套笔记全面覆盖了前端开发的各个方面,适合初学者系统学习,也对有一定经验的开发者有很好的复习和参考价值。通过深入学习和实践,可以为在前端领域建立坚实的基础,成为一名专业的前端开发者。
浅析CSRF跨域读取型漏洞之CORS
记录学习,一起进步
03-07 667
浅析CSRF跨域读取型漏洞之CORS
csrfcors有啥关系
m0_57236802的博客
12-02 463
CSRF(Cross-Site Request Forgery)和 CORS(Cross-Origin Resource Sharing)虽然听起来类似,但实际上它们处理的是两个完全不同的安全问题。定义:防御机制:定义:使用场景:实现方式:关系:区别:简而言之,CSRF 关注的是防止恶意网站利用用户的登录状态执行不安全的操作,而 CORS 关注的是允许安全、受控的跨源资源访问。
什么是csrfcors?有啥区别?
m0_73302761的博客
07-21 419
本文参考 原文链接:https://blog.csdn.net/weixin_47450807/article/details/123227342跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CORS(Cross-Origin Resource Sharing, 跨源资源共享)当一个请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。因此,要想实现CORS进行跨域需要服务器进行一些设置,同时前端也需要做一些配置和分析。
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 2723
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
一次性讲清楚:跨域请求、同源策略、CORSCSRF、XSS
ykk0518的博客
01-02 1005
A网站被攻击的原因有但不限于以下几点:(1)A网站处理请求的时候,只请求是否携带了cookie,而cookie又是存在浏览器中,很容易被其它网站利用;(2)小明在使用同一个浏览器打开A网站的同时,又以新tab标签的方式打开了小黑做的B网站。想必很多人也都经历过类似的场景,肯定就会有人想:既然什么损失也没有,那么不同源就不同源呗,跨域就跨域呗....... 但是呢,有一批人就觉得这样不安全,如果。还防御不了B网站的跨域请求吗?A网站收到了这个响应,看到了有这个请求头,就放行了,也就解开了同源策略的限制。
Spring Security 中的 CSRFCORS
qq_29860591的博客
08-14 1137
Spring Security 中的 CSRFCORS 使用 Spring Security 提供 CSRF 保护 什么是 CSRF? 从安全的角度来讲,你可以将 CSRF 理解为一种攻击手段,即攻击者盗用了你的身份,然后以你的名义向第三方网站发送恶意请求。我们可以使用如下所示的流程图来描述 CSRF: 具体流程如下: 用户浏览并登录信任的网站 A,通过用户认证后,会在浏览器中生成针对 ...
CSRFCORS:白帽子的最爱
鹅子鱼的博客:很菜但是很好学的小菜鸟
04-23 219
嗨,亲爱的师傅们!你在某个网站登录并留下了你的宝贵信息,然后突然发现你的邮箱被黑客改了!这就是CSRF攻击!学习CSRF还可以帮助我们更好地了解安全性(挖洞!),以便提高自己的技能并找到更多的漏洞(CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。
安全之同源策略、CSRFCORS
lpq1201的博客
03-21 359
同源策略 SOP 同源策略(Same-origin policy,简称 SOP) 跨站请求伪造(Cross-site request forgery,简称 CSRF) 跨域资源共享(Cross-Origin Resource Sharing,简称 CORS) 先解释何为同源:协议、域名、端口都一样,就是同源。 你之所以会遇到 跨域问题,正是因为 SOP 的各种限制。但是具体来说限制了什么呢? 如果你说 SOP 就是“限制非同源资源的获取”,这不对,最简单的例子是引用图片、css、js 文件等资源的时候就允
springsecurity corscsrf
08-18
Spring Security是一个强大的安全框架,用于在Spring应用程序中实现身份验证、授权和其他安全功能。它也提供了对CORSCSRF的支持。 对于CORS,Spring Security提供了一些配置选项来允许跨域资源共享。你可以通过`cors()`方法来启用CORS支持,并配置允许访问的域、方法和头部。例如,以下配置允许来自任何域的GET和POST请求: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .cors().and() // 其他配置... } @Bean public CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.addAllowedOrigin("*"); configuration.addAllowedMethod("GET"); configuration.addAllowedMethod("POST"); configuration.addAllowedHeader("*"); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } } ``` 对于CSRF防护,Spring Security默认会启用CSRF保护。它会自动生成一个CSRF令牌,并将其包含在表单中或者在请求头中发送。开发者可以通过配置来自定义CSRF令牌的生成和验证方式。以下是一个简单的配置示例: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()).and() // 其他配置... } } ``` 上述配置将CSRF令牌存储在Cookie中,并且在响应中发送给客户端,客户端将令牌作为请求的一部分发送给服务器进行验证。 综上所述,Spring Security提供了对CORSCSRF的支持,并且可以通过配置来自定义其行为。开发者可以根据具体需求进行相应的配置和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值