CSRF 跨域

最新推荐文章于 2023-02-02 23:54:22 发布
最新推荐文章于 2023-02-02 23:54:22 发布
阅读量542 收藏 1
点赞数
分类专栏: 知识点 文章标签: csrf 前端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ywn0601/article/details/122452567
版权
当前端页面与服务器地址在协议、域名或端口上不一致时,会产生跨域请求,表现为无法获取数据并报错。为解决这个问题,需要在服务器端Response Header中设置`Access-Control-Allow-Origin`,在SpringCloud等环境中,通常在网关进行统一配置。对于非简单请求,浏览器会先发送OPTIONS预检请求,服务端需对此做出相应,允许所需的方法和头部。
摘要由CSDN通过智能技术生成

什么是跨域请求

当前端使用ajax获取数据的时候,如果当前页面的地址和所需要请求的服务器的地址 :

协议 域名 端口

任何一个不一样的时候就会产生跨域请求

跨域请求的表现

获取不到数据信息并且前端报跨域错误提示

跨域请求获取不到数据的原因

后端服务器接口数据以返回,但是浏览器不将数据返回给ajax中的success

如何处理跨域请求

在服务器端的Response Header中添加
Access-Control-Allow-Origin 的信息
例如在SpringCloud中项目中会把跨域配置全都配置在网关中,由网关统一管理

跨区请求和OPTIONS请求的关系

跨域请分为:

简单请求:
get post
非简单请求:
put delete 自定义的header信息

按上面"如何处理跨域请求" 中写的方法解决后,访问接口还是会出现
在这里插入图片描述
以上的options请求

因为所有非简单请求 在正式跨域的请求前,浏览器会根据需要,发起一个“PreFligh

最低0.47元/天 解锁文章
杨芊
关注
专栏目录
安全开发之CSRF(跨域请求伪造)
XZ85201的博客
05-20 1330
概念:CSRF(Cross Site Request Forgery)跨域请求伪造,顾名思义,是在跨域的基础上利用伪造请求而达成的一种攻击手段。
CSRF跨域攻击及预防
song_myth的博客
08-11 791
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状   C
CSRF(跨站请求伪造)的理解
移动端开发干货分享
04-15 560
原文:https://my.oschina.net/jasonultimate/blog/212554 下班的时候跟公司大神一起走,问了他几个问题,接着就给我讲了XSS攻击和CSRF攻击,他通过举例子的方式讲解,通俗易懂,感觉收获很大!又学到了一些新知识,心里特别高兴,为了防止我这个脑子很快就忘掉,所以趁着热乎,写下来,方便以后回顾一下~ 一、什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。那么什么是跨站请求伪造呢?让我一个词一个词的.
关于跨域csrf 的那些事
dengdongxia的博客
09-03 1947
前言   在这段时间,部门前辈分享了不少干货。我学到了不少内容,并对其进行简单整理,以便更好地转化为自己的知识。 知识探讨部分 关于跨域 产生 协议,域名,端口三者其中存在不同都会形成跨域;故,当协议,端口,域名三者均相同时,浏览器就会认为是同源,允许加载该资源,否则为不同源。 跨域存在原因:浏览器的同源限制策略 请求:客户端(www.a.com) -》 服务端(www.baidu.com)...
关于跨域csrf 的那些小事
最新发布
m0_59598029的博客
02-02 419
在这段时间,部门前辈分享了不少干货。我学到了不少内容,并对其进行简单整理,以便更好地转化为自己的知识。
CSRF跨域请求伪造)理解的很通透
weixin_46865273的博客
05-04 1140
声明:本篇文章来自:https://my.oschina.net/jasonultimate/blog/212554 一、什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。那么什么是跨站请求伪造呢?让我一个词一个词的解释: 1、跨站:顾名思义,就是从一个网站到另一个网站。 2、请求:即HTTP请求。 3、伪造:在这里可以理解为仿造、伪装。 综合起来的意思就是:从一个网站A中发起一个到网站B的请求,而这个请求是经过了伪装的,伪装操作达到的目的就是
CSRF(跨域请求伪造)和XSS(跨域脚本攻击)的概念和防范措施
tscn1的博客
03-22 1048
这里写目录标题CSRF(跨域请求伪造)原理:防御cookie的sameSite验证referer和Origin二次验证使用非cookie令牌XSS(跨域脚本攻击)存储型XSS反射型DOM型 CSRF(跨域请求伪造) 恶意网站以正常用户为媒介,通过模拟正常用户的操作,攻击其登录过的网站。 原理: 1. 正常用户登录后,获得正常站点的令牌,以cookie的形式保存。 2. 用户访问恶意站点,恶意站点通过某种形式去请求了正常网站,然后将用户的令牌传递到正常网站,完成攻击。 防御 cookie的sameSite
跨域CSRF攻击
刘旭濠的博客
06-08 1952
作者:刘旭濠 跨域每个程序员都要掌握的一门知识,其实我一开始也不知道什么是跨域甚至是第一次听到好奇这是啥玩意(毕竟我还是小白一个)不过看了网上一堆资料虽然有点乱但是还是理解了一些,那么我来分享一下我的理解吧,那么什么是跨域跨域就是指浏览器不能执行其他网站脚本,是对浏览器对JavaScript加的安全限制,为什么要限制呢,那就是怕CSRF攻击,至于CSRF攻击是什么接下来也会讲到的。 那么我就这样...
Django跨域请求CSRF的方法示例
01-20
web跨域请求 1.为什么要有跨域限制 举个例子: 1.用户登录了自己的银行页面 http://mybank.com,http://mybank.com向用户的cookie中添加用户标识。 2.用户浏览了恶意页面 http://evil.com。执行了页面中的恶意AJAX...
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
http长连接与短连接 HTTP协议与TCP/IP协议的关系 HTTP的长连接和短连接本质上是TCP长连接和短连接。HTTP属于应用层协议,在传输层使用TCP协议,在网络层使用IP协议。IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,使在网络上的另一端收到发端发出的所有包,并且顺序与发出顺序一致。TCP有可靠,面向连接的特点。 如何理解HTTP协议是无状态的 HTTP协议是无状态的,指的是协议对于事务处理没有记忆能力,服务器不知道客户端是什么状态。也就是说,打开一个服务器上的网页和你之前打开这个服务器上的网页之间没有任何联系。HTTP是一个无状态的面向连接的协议,无状态不代表HTTP不能保持TCP连接,更不能代表HTTP使用的是UDP协议(无连接)。 跨域实战解决方案 跨域原因产生:在当前域名请求网站中,默认不允许通过ajax请求发送其他域名。
浅谈CSRF跨域攻击
DevOps
05-15 1670
CSRF(Cross Site Request Forgery) 跨站请求伪造。在用户不知情的情况下以用户的名义向有CSRF漏洞的网站发起攻击,有很大的危害性。 预防:在header中添加一个随机token,和cookie中的csrftoken进行比较,如果不相同,则表示该请求是CSRF攻击。 原理:网站可以伪造header中的东西,但不能读cookie中的数据,而token是个随机数,所以伪...
什么是跨域?什么是CSRF?
weixin_33758863的博客
04-02 176
(参考链接:https://www.jianshu.com/p/f880878c1398) 什么是跨域?   在 HTML 中,<a>, <form>, <img>, <script>, <iframe>, <link> 等标签以及 Ajax 都可以指向一个资源地址,而所谓的跨域请求就是指:当前发起请求的域与该请求指向的资...
java csrf 跨域_CSRF-跨域访问保护
weixin_42390873的博客
02-23 177
CSRF跨域访问保护当我们打开此功能时,在提交时就会报错,此时解决方法有1.浏览器支持cookie2.有render方法3.在提交的表单中加入{% csrf_token%},为了生成随机值。现在我们就以第三种为例,就可以解决此类问题了1 {% extends "index.html" %}23 {% block extra-head-resources %}45 6 {% endbloc...
csrf跨域攻击
dremcl的博客
03-11 118
csrf攻击原理 请求响应: 从正规网站上注册信息等等,网站会给用户返回一个csrf_token,当用户注册的信息发送时,会带着csrf_token一起返回,若返回的csrf_token一致,则成功,若不一致,则没有响应。钓鱼网站不会csrf_token! 实例 1 首先在model中定义一个表结构 ...
CSRF简述-跨域解决方案CORS
Static_HackSun的博客
05-05 557
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚...
【web】CSRF跨站(跨域)请求伪造攻击方式
m0_45406092的博客
02-25 609
文章目录1. CSRF是什么?2. CSRF可以做什么?3. CSRF的原理3.1 举例描述原理3.1.1 示例1:3.1.2 示例2:3.1.3 示例3:4. CSRF的防御4.1 服务端进行CSRF防御4.1.1 token4.1.1.1 Cookie Hashing(所有表单都包含同一个伪随机值):4.1.1.2 验证码4.1.1.3 One-Time Tokens(不同的表单包含一个不同的伪随机值)4.1.2 验证 HTTP Referer 字段4.1.3 在 HTTP 头中自定义属性并验证 1.
HTTP长连接与短连接:跨域、XSS和CSRF解决方案解析
本文将深入探讨Web开发中的高级概念,包括HTTP的长连接与短连接、HTTP协议的无状态性以及跨域、XSS和CSRF等安全问题的解决方案。 首先,HTTP协议是基于TCP/IP协议栈的应用层协议,它利用TCP提供可靠性,IP负责网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值