跨域请求及解决方案

最新推荐文章于 2023-11-24 16:50:43 发布
最新推荐文章于 2023-11-24 16:50:43 发布
阅读量333 收藏
点赞数
分类专栏: 常见问题排查
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangguosb/article/details/88979954
版权

跨域请求

  跨域请求是指当前发起请求的域与该请求指向的资源所在的域不一样,只有当协议+域名+端口三者均相同时才认为是同域。例如,aaa.com 的网站发起一个URL为bbb.com/pay/purchase 的 Ajax 请求,该请求即为跨域请求;
在这里插入图片描述

存在问题

  跨域请求可能导致CSRF攻击,因此出于安全方面的考虑,浏览器通常会对跨域请求进行限制;

解决方案

方案1: JSONP(废弃)

  JSONP只支持GET请求,无法支持现在流行的RESTful风格;

方案2:代理(常用)

  使用Nginx或者Node.js等作为中间层进行请求的转发;

方案3:CORS(常用)

  CORS 全称为 Cross Origin Resource Sharing(跨域资源共享),W3C的一个标准,支持标准的浏览器可以向声明CORS的跨域服务器发送请求,大致分为两步:

  1. 当浏览器发现为跨域请求时,首先以 OPTIONS 请求方式发送一个预请求(浏览器自动添加CROS头部),从而获知服务器端对跨源请求所支持 HTTP 方法;
  2. 在确认服务器允许该跨源请求的情况下,以实际的 HTTP 请求方法发送那个真正的请求,共享资源的服务器接收到请求后,进行校验及处理,然后响应头中添加CORS相关头部返回;

在这里插入图片描述

CORS头部字段

  这些头部实际就是共享资源服务器声明的白名单,允许特定域名的特定动作的请求访问资源,详见博文

浏览器支持情况

在这里插入图片描述

服务端配置@CORS

@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
                .allowedOrigins("http://domain2.com")
                .allowedMethods("PUT", "DELETE")
                .allowedHeaders("header1", "header2", "header3")
                .exposedHeaders("header1", "header2")
                .allowCredentials(false).maxAge(3600);
    }
}

参考:

  1. http://blog.720ui.com/2016/web_cross_domain/
  2. 解释:https://www.jianshu.com/p/f880878c1398
  3. 服务端声明方式:https://www.jianshu.com/p/9203e9b14465
库昊天
关注
专栏目录
CSRF(跨域请求伪造)和XSS(跨域脚本攻击)的概念和防范措施
tscn1的博客
03-22 1050
这里写目录标题CSRF(跨域请求伪造)原理:防御cookie的sameSite验证referer和Origin二次验证使用非cookie令牌XSS(跨域脚本攻击)存储型XSS反射型DOM型 CSRF(跨域请求伪造) 恶意网站以正常用户为媒介,通过模拟正常用户的操作,攻击其登录过的网站。 原理: 1. 正常用户登录后,获得正常站点的令牌,以cookie的形式保存。 2. 用户访问恶意站点,恶意站点通过某种形式去请求了正常网站,然后将用户的令牌传递到正常网站,完成攻击。 防御 cookie的sameSite
如何跨站请求
qq_45475788的博客
12-09 1081
例子:a网站有一个发布文章的页面,文章在网站中任何人都可以看;一般用富文本编辑器时,都会直接禁止使用html,但是黑客可以在控制台,对富文本编辑器进行操作,比如写一个form表单提交,提交内容就是获取用户cookie,发送到b网站后台(黑客自己的服务器);那么他在控制台直接进行ajax提交后,当有其他用户访问这个文章时,就用执行js,获取该用户的cookie,然后发送到自己服务器,此时他就会得到很多用户的cookie ...
浅谈CSRF跨域攻击
DevOps
05-15 1673
CSRF(Cross Site Request Forgery) 跨站请求伪造。在用户不知情的情况下以用户的名义向有CSRF漏洞的网站发起攻击,有很大的危害性。 预防:在header中添加一个随机token,和cookie中的csrftoken进行比较,如果不相同,则表示该请求是CSRF攻击。 原理:网站可以伪造header中的东西,但不能读cookie中的数据,而token是个随机数,所以伪...
跨域攻击分析和防御(上)
最新发布
Ms08067安全实验室
11-24 1303
点击星标,即时接收最新推文跨域攻击在大型公司或大型跨国企业中都拥有自己的内网,跨国公司都有各个子公司一般以建立域林进行共享资源。根据不同职能区分的部门,从逻辑上以主域和子域进行划分以方便统一管理。在物理层使用防火墙将各个子公司以及各个部门划分为不同区域。我们在渗透测试过程中如果拿到其中某个子公司或是某个部门的域控制器权限后,如果没有得到整个组织机构全部权限或我们需要寻找的资料不在此域中,往往需要其...
什么前端跨域?如何解决跨域问题?什么是跨域攻击?
tyxjolin的专栏
03-30 1609
跨域问题是前端开发中一个常见的问题。本文介绍了跨域问题的原因、常见的跨域解决方案、跨域攻击方式以及跨域安全措施。在实际开发中,需要根据具体的情况选择合适的跨域解决方案,并且需要注意跨域请求的安全性。
简单了解django处理跨域请求最佳解决方案
01-20
一、什么是跨域请求 跨域: 简单来说就是 A 网站的 javascript 代码试图访问 B 网站,包括提交内容和获取内容。这显然是不安全的。为此,浏览器的鼻祖:网景(Netscape)公司提出了优秀的解决方案:著名的浏览器同源...
Tomcat跨域请求资源解决方案.zip
10-10
本资料包“Tomcat跨域请求资源解决方案.zip”显然是针对这个问题提供了一个具体的解决方案,主要聚焦于如何在Apache Tomcat服务器上配置以允许跨域请求。 Tomcat是Java Servlet容器,广泛用于部署Java Web应用程序...
Vue跨域请求问题解决方案过程解析
11-19
本篇文章将详细介绍如何解决Vue项目中的跨域请求问题,主要通过配置Vue的开发服务器代理来实现。 首先,跨域问题源于浏览器的同源策略,它不允许一个源的文档或脚本与另一个源的资源进行交互。当我们在本地开发Vue...
CORS Attack(Cross-origin Resource Sharing Attack) 跨域资源共享攻击
Eason_LYC安全白帽子的成长博客
05-13 5149
CORS攻击,详细梳理总结,全网少见,并有靶场配套练习。
跨域请求剖析
pjh88的博客
08-13 151
什么是跨域请求 在 HTML 中,<a>, <form>, <img>, <script>, <iframe>, <link> 等标签以及 Ajax 都可以指向一个资源地址,而所谓的跨域请求就是指:当前发起请求的域与该请求指向的资源所在的域不一样。这里的域指的是这样的一个概念:我们认为若协议 + 域名 + 端口号均相同,那么就是同域。 举个例子:假如一个域名为aaa.cn的网站,它发起一个资源路径为aaa.cn/books/getBoo
【web】CSRF跨站(跨域)请求伪造攻击方式
m0_45406092的博客
02-25 609
文章目录1. CSRF是什么?2. CSRF可以做什么?3. CSRF的原理3.1 举例描述原理3.1.1 示例1:3.1.2 示例2:3.1.3 示例3:4. CSRF的防御4.1 服务端进行CSRF防御4.1.1 token4.1.1.1 Cookie Hashing(所有表单都包含同一个伪随机值):4.1.1.2 验证码4.1.1.3 One-Time Tokens(不同的表单包含一个不同的伪随机值)4.1.2 验证 HTTP Referer 字段4.1.3 在 HTTP 头中自定义属性并验证 1.
跨域与CSRF攻击
王子老师
03-03 897
我们都在奔赴不同的人生,只希望能在赚不到大钱的日子里能赚到比钱更珍贵的东西。 跨域问题 跨域问题发生在,浏览器向后端发起请求之后,后端向前端返回数据的时候。通常后端会正常返回数据,但是前端会判断此时返回数据的url和第一次访问前端项目url不一样,就会选择拒绝绝收数据,此时发生了跨域。这也是浏览器的同源策略所导致的。 跨域主要是指域名、端口、IP不一致, 浏览器的同源策略也避免了一些安全问题。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。 如果没有同源策略,比如
跨域请求方法及安全问题
weixin_33738555的博客
09-04 537
2019独角兽企业重金招聘Python工程师标准>>> ...
网络安全-跨站请求伪造(CSRF)的原理、攻击及防御
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
域渗透-跨域攻击
就是法老
08-19 1982
很多大型企业都拥有自己的内网,一般通过域林进行共享资源。根握不同职能区分的部门,从逻辑上以主域和子域进行划分,方便统一管理。在物理层,通常使用防火墙将各个子公司及各个部门划分为不同的区域。攻击者如果得到了某个子公司或者某个部门的域控制器权限,但没有得到整个公司的内网全部权限,往往会想办法获取其他部门或者域的权限。 》》》跨域攻击方法《《《 WEB漏洞:跨域获取权限 PTH/PTT:DC本地管理员密码可能相同 域信任关系:....... 》》》跨域攻击--域信任关系《《《 域信任的作用:解决多域.
深入理解跨域与跨域攻击CSRF
lqb3732842的博客
06-16 3万+
此文适合了解跨域与CSRF攻击,但又好像似懂非懂的童鞋阅读,对于没有了解过跨域或者跨域攻击的童鞋可以先去了解跨域跟CSRF 再回来看 先看问题 1:为何浏览器要有同源策略,限制跨域? 2:同源策略有什么限制? 3:浏览器既然有同源策略,为何还允许JSONP 或者COSF解决跨域? 4:浏览器已经限制跨域为何还会有csrf? 5:scrf防御核心思想是啥? 1:为何浏览器要有同源策略,限制跨域? 答1:浏览器没有同源策略 那csrf攻击将会轻而易举,网站cookie随手可取,任何网站将变得不安全 eg:用户登
跨域请求
05-21 1830
跨域请求跨域请求就是指:当前发起请求的域与该请求指向的资源所在的域不一样。这里的域指的是这样的一个概念:我们认为如果协议 + 域名 + 端口号均相同,那么就是同域,否则则是跨域的 ​ 跨域请求是由于浏览器的同源策略导致的,浏览器的同源策略是不能没有的(同源策略是浏览器最核心最基础的安全策略) 同源策略禁止 Ajax 直接发起跨域HTTP请求(其实可以发送请求,结果被浏览器拦截,不展示),同...
服务器安全:浏览器同源策略与跨域请求、XSS攻击原理及防御策略、如何防御CSRF攻击
热门推荐
寒泉
05-10 6万+
主要包括 浏览器同源策略与跨域请求 XSS攻击原理及防御策略 如何使用SpringSecurity防御CSRF攻击 CC/DDOS攻击与流量攻击 什么是SSL TLS HTTPS? 一、浏览器的同源策略 请求方式:HTTP,HTTPS,Socket等 HTTP请求特点:无状态。 想要保持状态的话,需要服务器下发token/cookie到浏览器,在服务器端存的是session 服务端与客户端要建立会话: 浏览器的同源策略 同源策略:当访问同一域名下的所有子URI时,不需要重新登录。 所谓的同源是指:1.
JavaScript跨域详解及解决方案
对于跨域问题,JavaScript在前端有一些常见的解决方案: 1. **document.domain** + **iframe**:如果主域相同,可以通过设置`document.domain`为相同值,使子域间的iframe实现跨域通信。 2. **JSONP(JSON with ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值