X-CSRF-Token

已于 2023-03-02 10:40:33 修改
阅读量1.9w 收藏 12
点赞数 3
分类专栏: ODATA 文章标签: ODATA CSRF ISSUE
于 2019-01-24 10:55:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiayutian_c/article/details/86622422
版权

Odata服务HTTP测试总是出现烦人的 CSRF token validation failed

(for all modifying requests)忽略下图中的报文错误

怀疑是服务器参数的设置问题,临时应急的话可以先针对这个服务把CSRF校验关掉

SICF找到这个服务

增加一个参数

  • Modifying request的CSRF这样的工作的:
    1. 用一个非修改(non-modifying)的请求(GET)返回CSRF。首先发送GET请求时X-CSRF-Token参数值 指定为'Fetch',在成功返回的header里有参数 X-CSRF-Token
    2. 然后才是modifying 请求(POST),这里要带上第一步返回的X-CSRF-Token,这里如果validation不通过一样会返回403forbidden错误,失败的请求中是不会有有效的X-CSRF-Token的
    3. 如果X-CSRF-Token检验通过,正常的POST

  • 如果要禁用HTTP的话可以把login/ticket_only_by_https这个参数设为1,这个HTTP的任何请求都会返回403forbidden ‘CSRF token validation failed’下面这个服务器就是这么搞的,别问我为什么知道的

 

 参考 :https://help.sap.com/saphelp_gateway20sp12/helpdata/en/e6/cae27d5e8d4996add4067280c8714e/frameset.htm

xiayutian_c
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
csrf漏洞原理及防御
javagty6778的博客
01-09 232
从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤1.登录受信任网站A,并在本地生成Cookie2.在不登出A的情况下,访问危险网站B。
CSRF的详细介绍与token的分析
wjtlht928的专栏
06-19 8312
CSRF的攻击与防御 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 1、CSRF漏洞简介 CSRF(Cross-Site Request Forgery,跨站点伪造
爬虫请求头遇见了X-CSRF-Token和c-token如何解决
热门推荐
qq_39138295的博客
05-06 2万+
如果遇见了,大多都是对token的加密。 今天遇见了这样一个网站: 想要获取验证码图片。抓包获取之后: requests.post()请求啊,但是请求之后一直在被网站拒绝,一直在报403.。 后来回头重新看,才发现请求头中是有X-CSRF-Token和c-token来识别身份的。 这个网站比较简单,这两个值是一样的。 然后就找这两值所在的界面嘛。 全局搜索之后,发现这个是明文传输...
44.vue-element-admin在header里增加X-CSRFToken
最新发布
智盟科技智能制造团队的博客
06-05 297
是一种安全机制,用于跨站请求伪造保护。在Vue.js项目中,可能使用了Django框架,而Django要求所有的POST请求携带一个CSRF token来验证请求的合法性。
网络爬虫中X-CSRF-Token和Status 403问题解决方案(Java或Python)
qy20115549的博客
08-03 6919
本文作者:合肥工业大学 电子商务研究所 钱洋 email:1563178220@qq.com 。 内容可能有不到之处,欢迎交流。 未经本人允许禁止转载。 文章目录问题情景1和解决方案问题情景2和解决方案 问题情景1和解决方案 **在很多POST请求中,经常会加入一些字段来控制会话或者数据的表单提交。**例如,在京东的模拟登陆中,并不是你在Java或者python程序中,直接输入用户名密码就能登陆成...
Java 关于爬取网站数据遇到csrf-token的分析与解决
DOBEONE玉苑的博客
03-24 6551
问题描述 在爬取某网站的时候遇到了问题,因为网站的避免CSRF攻击机制,无法获取到目标页面数据,而是跳转到一个默认页面。 关于CSRF 1、CSRF tokens是如何工作(详情请点击查引用源站点) 1、服务器发送给客户端一个token。 2、客户端提交的表单中带着这个token。 3、如果这个token不合法,那么服务器拒绝这个请求。 2、java 站点应对CS...
SpringBoot 如何防御 CSRF 攻击
mry6的博客
04-29 1543
接下来,用户首先访问 csrf-simulate-web 项目中的接口,在访问的时候需要登录,用户就执行了登录操作,访问完整后,用户并没有执行登出操作,然后用户访问 csrf-loophole-web 中的页面,看到了超链接,好奇这美女到底长啥样,一点击,结果钱就被人转走了。因为在 CSRF 攻击中,黑客网站其实是不知道用户的 Cookie 具体是什么的,他是让用户自己发送请求到网上银行这个网站的,因为这个过程会自动携带上 Cookie 中的信息。在登录成功后回调的详细解释。
csrf绕过token
Bu2n的博客
02-12 1623
以pikachu靶场为例,绕过token讲解 https://www.bilibili.com/video/BV1qm4y1Z7o5/ 钓鱼网站源码 pikachu_csrf_token.html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Document</title> </head> <body>
spring-security-ng:演示 Spring Security 中缺少“X-CSRF-TOKEN”的问题的示例
07-07
介绍该项目用作解决与 Spring Security 和 Angular 相关的 HTTP 标头中缺少“X-CSRF-TOKEN”的问题的示例。 该示例使用 。 问题是 HEAD 不包含“X-CSRF-TOKEN”。
superagent-django-csrf:修补程序,将cookie中的`csrftoken`作为X-CSRFToken`标头添加到每个超级代理的请求中
05-02
补丁加csrftoken从饼干作为X-CSRFToken头球每个SuperAgent的要求。 用法 // Just require patch require ( 'superagent-django-csrf' ) ; 安装 npm install superagent-django-csrf 执照 麻省理工学院:copyright:
Teino1978-Corp-spring-security-csrf-token-interceptor-
04-29
#spring-security-csrf令牌拦截器一... #安装### Via Bower $ bower install spring-security-csrf-token-interceptor###通过NPM $ npm install spring-security-csrf-token-interceptor#Usage将其作为对您的应用程序
CSRF:ring-csrf示例
01-28
二是通过`X-CSRF-TOKEN` HTTP头发送。`ring-csrf`库提供方便的函数如`ring-csrf/token`,可以在模板渲染时插入令牌。 4. **例外处理**:当CSRF验证失败时,`ring-csrf/protect`中间件可以配置为返回特定的HTTP错误...
backbone.csrf:为所有Backbone同步请求配置X-CSRFToken标头
04-29
主干.csrf 将您的Backbone应用程序配置为与受CSRF保护的后端Web框架兼容 作者 兼容性 同时支持AMD / CommonJS规范。 依存关系 bone.csrf支持 1.7.1或更高版本 需要 安装 凉亭 bower install backbone.csrf NPM ...
Spring Security跨站请求伪造(CSRF
猪猪神功屁
08-03 1754
spring security 中 csrf
跨域post 及 使用token防止csrf 攻击
多崎巡礼的博客
11-21 2125
环境: 后台使用的python - flask 前台使用angular框架 1.一个跨域post的例子: 跨域post有多种实现方式: 1.CORS:http://blog.csdn.net/hfahe/article/details/7730944 2.利用iframe 3.server proxy:https://en.wikipedia.org/wiki/Proxy_server 例子...
为什么XSRF-TOKEN可以用于防止跨站请求伪造(CSRF或XSRF)攻击
m0_57236802的博客
08-13 2036
在发送到服务器的每个非简单请求(例如 POST 请求)中,客户端应用程序还必须以某种方式(如请求头或表单字段)将该 token 包括进去。因此,即使攻击者能够诱使用户的浏览器对目标站点发起请求,由于他们不能在请求中包括有效的 token,所以该请求将被服务器拒绝。用于防止跨站请求伪造(CSRF 或 XSRF)攻击的原理在于,它为每个会话提供了一个唯一的、难以预测的 token。:对于每个涉及潜在副作用的请求(例如修改、添加或删除数据的请求),服务器都会检查附带的。
python x-csrf-token
05-13
在使用 Python 发送 HTTP 请求时,如果请求需要携带 CSRF Token 的话,可以在请求头中添加 "X-CSRF-Token" 字段,并将 Token 值作为其值发送。 以下是一个示例代码: ```python import requests # 假设 CSRF ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值