[WEB]跨域问题CORS及跨域攻击CSRF

最新推荐文章于 2024-06-16 12:48:09 发布
最新推荐文章于 2024-06-16 12:48:09 发布
阅读量656 收藏
点赞数
分类专栏: web 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xujunxuan/article/details/105831703
版权

之前有遇到类似跨域问题,对此作小结。主要内容包括,跨域的基础知识和跨域攻击

跨域 定义:跨域HTTP请求(Cross-site HTTP request),顾名思义指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。

同域 定义:如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源(域)

跨域原因域1域2
不同端口whu.edu.cn:80whu.edu.cn:8080
不同域名drkt.whu.edu.cnzsb.whu.edu.cn
不同协议https://whu.edu.cnhttp://whu.edu.cn

 

起源:同源策略|SOP(Same origin policy)由Netscape公司1995年提出,它是浏览器最核心也最基本的安全策略。

同源策略限制:

  • DOM对象
  • JS对象
  • Cookie,LocalStorage
  • XmlHttpRequest请求(Ajax请求)

用途:用于防止 跨站请求造攻击|CSRF(Cross-site request forgery)

 

A cookie associated with a cross-site resource at http://hm.baidu.com/ was set without the `SameSite` attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with `SameSite=None` and `Secure`. You can review cookies in developer tools under Application>Storage>Cookies and see more details at https://www.chromestatus.com/feature/5088147346030592 and https://www.chromestatus.com/feature/5633521622188032.

上述是一个跨域请求Cookie的例子,是baidu统计代码在谷歌游览器中的问题。

在开发实际遇到的问题是,用户通过伪造请求,提交小游戏成绩。

解决方案:

使用Django时,在setting中删除django.middleware.csrf.CsrfViewMiddleware

Pinckney_Emiya
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CORS跨域资源共享漏洞
m0_55772907的博客
10-19 9321
cors漏洞
同源政策/跨域跨域解决策略/web安全攻击CSRF以及XSS
darabiuz的博客
02-11 3202
1.同源策略 1. 什么是同源 同源策略是浏览器安全的基石,当前网页的url和ajax请求地址的url必须同源,它要求协议、域名、端口号三者必须相同,只要有一处不同就属于跨域 2. 为什么要有同源策略 想象这样一个场景,你登录并信任了一个购物网站A,然后在没有退出的情况下登陆了恶意网站B,由于浏览器携带了cookie信息,那么B就可以冒充用户向A网站发送请求,比如购买物品之类的违背用户预期的恶意行为,带来严重影响,这其实也就是平时所说的CSRF攻击(具体见下文对于CSRF的介绍),由来同源策略以后,主要限制
CORS Attack(Cross-origin Resource Sharing Attack) 跨域资源共享攻击
Eason_LYC安全白帽子的成长博客
05-13 5124
CORS攻击,详细梳理总结,全网少见,并有靶场配套练习。
CORS解决方案汇总
最新发布
2401_84466361的博客
06-16 1739
Cors全称"跨域资源共享"(Cross-origin resource sharing),Cors的出现是用来弥补SOP(同源策略)的不足。在当时SOP有些限制了网页的业务需求,不能够使不同域的网页互相访问,因此提出了Cors:用于绕过SOP(同源策略)来实现跨域资源访问的一种技术。Cors漏洞就是攻击者利用Cors技术来获取用户的敏感数据,从而导致用户敏感信息泄露。
cors跨域_全面刨析cors跨域攻击原理
weixin_39746241的博客
11-28 882
htf的cors跨域之旅 htf一直在维护一个网站,b.com。b.com中存在接口get_userinfo.php可以获取到用户的敏感信息'flag',代码如下。//http://b.com/get_userinfo.php ...
浅谈CORS跨域
巴卡巴卡哇的博客
10-31 4754
跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。
CORS跨域访问漏洞
m0_73896875的博客
07-13 5829
全称是“跨域资源访问共享”(Cross-Origin Resource Sharing),是一种用于解决跨域资源访问限制的机制。它允许在浏览器中进行跨域请求,并控制跨域请求的安全性。同源策略(Same-Origin Policy)是浏览器的一种安全策略,它要求在访问资源时,请求的域名、协议和端口必须与资源所在的域名、协议和端口完全匹配。如果两个资源的域名、协议和端口不匹配,浏览器会限制跨域请求,并阻止脚本访问返回的响应数据。CORS 提供了一种机制,允许服务器端声明它所支持的跨域请求。
跨域资源共享 CORS 详解
09-02
跨域资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同源的服务器请求数据,而不会受到浏览器的同源策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
基于CORS实现WebApi Ajax 跨域请求解决方法
12-08
跨域请求中,如果服务器不支持CORS,浏览器将不允许进行此类操作,以防止CSRF(跨站请求伪造)攻击。 【CORS的工作原理】 当浏览器尝试发起跨域请求时,它会先发送一个预检请求(OPTIONS),即所谓的Preflight ...
django基于cors解决跨域请求问题详解
09-18
同源策略和CORS跨域资源共享)是浏览器安全策略中非常重要的两个概念,是Web开发中经常遇到的问题,尤其在前后端分离的项目中更为常见。下面将详细介绍这两个概念以及在Django项目中如何基于CORS解决跨域请求问题...
跨域资源共享CORS协议介绍
03-07
跨域资源共享(CORS)是一种安全机制,允许一个域(网站)上的Web应用访问另一个域上的资源。随着Web应用变得越来越复杂,为了增强用户体验,经常需要在一个域名下发起对另一个域名的HTTP请求。CORS的出现解决了...
XSS跨域攻击web项目中的防范,基于antisamy技术
07-10
介绍了XSS跨域攻击web项目中的防范,基于antisamy技术。
CORS 跨域资源共享漏洞
weixin_45653478的博客
03-21 1907
跨域资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制,以使不同的网站可以跨域获取数据。我们先来简单分析一下 CORS 跨域获取资源的过程:CORS 定义了两种跨域请求:简单请求 和 非简单请求。简单跨域请求就是使用设定的请求方式请求数据,而非简单跨域请求则是在使用设定的请求方式请求数据之前,先发送一个 OPTIONS 预检请求,验证请求源是否为服务端允许源。
CORSCSRF
fitzleopard的博客
06-16 3003
本文首发于我的Github博客 本篇文章介绍了CORSCSRF的概念(作者前几天在和带佬们聊天的时候把两个概念搞混了,所以才想要了解),简单来说: CORS(Cross Origin Resource Sharing)跨域资源分享 是一种机制,通过在HTTP响应头中加入特定字段限制不同域的资源请求 CSRF(Cross Site Request Forgery)跨站请求伪造 是一种web攻击手段,通过向服务器发送伪造请求,进行恶意行为的攻击手段 CORS(Cross Origin Resource
CORS跨域漏洞简析
Alexz__的博客
04-18 2129
1,什么是CORS 2,CORS漏洞简析及POC 3,基于wordpress5.2.4的CORS漏洞复现 壹 什么是CORS 想了解CORS先要搞清楚浏览器的同源策略 同源策略(Same Origin Policy) 是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的...
CROS 前后端交互,不可不知的跨域问题及其解决方案详解
FeelTouch Labs
10-19 2189
在前后端不分离时,我们利用前面讲过的Spring Security的各种知识点,就可以实现对项目的权限管控。但是在前后端分离时,尤其是在引入了Spring Security后的前后端分离时,我们从前端发来的请求,就会存在一些问题。这些问题就是跨域而导致的问题!对于前后端分离时,跨域而产生的安全问题,我们该怎么解决呢?接下来请跟着一一哥来学习如何解决吧!在解决跨域问题之前,我们先来了解一下何为跨域问题,怎么产生的跨域问题,怎么解决这个跨域问题CORS是一个W3C标准,全称是。
CORSCSRF--学习笔记
月月大王的博客
06-16 230
两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍:核心知识: CORS是一个W3C标准,它允许浏览器向跨源服务器,发出XMLHttpRequest 请求,从而克服 AJAX 只能同源使用的限制。因此,实现 CORS 通信的关键是服务器。只要服务器实现了 CORS 接口,就可以跨源通信,即为了解决跨域问题。浏览器将 CORS 请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。简单请求一般包括下面两种情况: 凡是不同时满足上面两个条件
CORS跨域资源共享漏洞的复现、分析、利用及修复过程
Innocence_0的博客
02-02 3061
CORS跨域资源共享漏洞与JSONP劫持漏洞类似,都是程序员在解决跨域问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格,诱骗受害者访问攻击者制作好的恶意网站,
如何解决CORS跨域问题
superioc的博客
03-30 1420
跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域;具体来讲,同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现;
HTTP长连接与短连接:跨域、XSS和CSRF解决方案解析
本文将深入探讨Web开发中的高级概念,包括HTTP的长连接与短连接、HTTP协议的无状态性以及跨域、XSS和CSRF等安全问题的解决方案。 首先,HTTP协议是基于TCP/IP协议栈的应用层协议,它利用TCP提供可靠性,IP负责网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值