关于跨域与 csrf 的那些事

最新推荐文章于 2025-02-14 16:09:16 发布
最新推荐文章于 2025-02-14 16:09:16 发布
阅读量2k 收藏 4
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 前端 安全 文章标签: 跨域 安全 csrf token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dengdongxia/article/details/100530296

前言

  在这段时间,部门前辈分享了不少干货。我学到了不少内容,并对其进行简单整理,以便更好地转化为自己的知识。

知识探讨部分

关于跨域

产生
  1. 协议,域名,端口三者其中存在不同都会形成跨域;故,当协议,端口,域名三者均相同时,浏览器就会认为是同源,允许加载该资源,否则为不同源。
  2. 跨域存在原因:浏览器的同源限制策略
  • 请求:客户端(www.a.com) -》 服务端(www.baidu.com)
  • 响应:客户端(www.a.com)《- 服务端(www.baidu.com)

  从上面列出的例子中,我们可以看到客户端和服务端是处于不同的域名下,这种情况,客户端可以正常地向服务端发出请求。但是,由于浏览器的同源限制策略,服务端响应的数据会被浏览器过滤掉,并抛出常见的跨域报错。

网上随便找了一张常见的跨域报错的图

特别需要提一下的是:IE 与其他浏览器对于同源策略的处理方式稍有点不同。主要包括以下两点:

  • 授信范围:两个相互之间高度互信的域名,不受同源策略的限制。
  • 端口:IE 未将端口号加入到同源策略的组成成分中。即两个协议,域名相同,端口不同的域名,IE 会认为两者是属于同源并不受限制的。
为什么会被过滤?

  浏览器收到响应数据之后,会判断响应回数据的源和当前页面的源是否是属于同源。

最低0.47元/天 解锁文章

200万优质内容无限畅学
CSRF攻击
刘旭濠的博客
06-08 2011
作者:刘旭濠 每个程序员都要掌握的一门知识,其实我一开始也不知道什么是甚至是第一次听到好奇这是啥玩意(毕竟我还是小白一个)不过看了网上一堆资料虽然有点乱但是还是理解了一些,那么我来分享一下我的理解吧,那么什么是就是指浏览器不能执行其他网站脚本,是对浏览器对JavaScript加的安全限制,为什么要限制呢,那就是怕CSRF攻击,至于CSRF攻击是什么接下来也会讲到的。 那么我就这样...
CSRF
ywn0601的博客
01-12 620
了解CSRF
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1861
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的情包括:以你名义发送邮件...
关于 csrf 的那些小
m0_59598029的博客
02-02 518
在这段时间,部门前辈分享了不少干货。我学到了不少内容,并对其进行简单整理,以便更好地转化为自己的知识。
深入解析 CSRF 攻击:原理、危害及解决方案
最新发布
qq_39895671的博客
02-14 758
是指在浏览器中,当一个网页尝试从其所在名不同的名请求资源时,浏览器出于安全考虑会阻止这种行为。协议:http:// 和 https://名:example.com 和 api.example.com端口:example.com:8080 和 example.com:3000由于两者名不同,因此被视为。1.2 问题的由来限制是浏览器的一种安全机制,称为 同源策略 (Same-Origin Policy),目的是防止恶意网站通过脚本访问其他网站的敏感数据。
Django请求CSRF的方法示例
01-20
web请求 1.为什么要有限制 举个例子: 1.用户登录了自己的银行页面 http://mybank.com,http://mybank.com向用户的cookie中添加用户标识。 2.用户浏览了恶意页面 http://evil.com。执行了页面中的恶意AJAX...
CSRF攻击及预防
song_myth的博客
08-11 854
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状   C
深入理解攻击CSRF
热门推荐
lqb3732842的博客
06-16 3万+
此文适合了解CSRF攻击,但又好像似懂非懂的童鞋阅读,对于没有了解过或者攻击的童鞋可以先去了解CSRF 再回来看 先看问题 1:为何浏览器要有同源策略,限制? 2:同源策略有什么限制? 3:浏览器既然有同源策略,为何还允许JSONP 或者COSF解决? 4:浏览器已经限制为何还会有csrf? 5:scrf防御核心思想是啥? 1:为何浏览器要有同源策略,限制? 答1:浏览器没有同源策略 那csrf攻击将会轻而易举,网站cookie随手可取,任何网站将变得不安全 eg:用户登
什么是?什么是CSRF?
weixin_33758863的博客
04-02 235
(参考链接:https://www.jianshu.com/p/f880878c1398) 什么是?   在 HTML 中,<a>, <form>, <img>, <script>, <iframe>, <link> 等标签以及 Ajax 都可以指向一个资源地址,而所谓的请求就是指:当前发起请求的该请求指向的资...
Web高级知识-&XSS;&CSRF;解决方案
11-26
http长连接短连接 HTTP协议TCP/IP协议的关系 HTTP的长连接和短连接本质上是TCP长连接和短连接。HTTP属于应用层协议,在传输层使用TCP协议,在网络层使用IP协议。IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,使在网络上的另一端收到发端发出的所有包,并且顺序发出顺序一致。TCP有可靠,面向连接的特点。 如何理解HTTP协议是无状态的 HTTP协议是无状态的,指的是协议对于务处理没有记忆能力,服务器不知道客户端是什么状态。也就是说,打开一个服务器上的网页和你之前打开这个服务器上的网页之间没有任何联系。HTTP是一个无状态的面向连接的协议,无状态不代表HTTP不能保持TCP连接,更不能代表HTTP使用的是UDP协议(无连接)。 实战解决方案 原因产生:在当前名请求网站中,默认不允许通过ajax请求发送其他名。
CSRF站请求伪造)的理解
移动端开发干货分享
04-15 721
原文:https://my.oschina.net/jasonultimate/blog/212554 下班的时候跟公司大神一起走,问了他几个问题,接着就给我讲了XSS攻击CSRF攻击,他通过举例子的方式讲解,通俗易懂,感觉收获很大!又学到了一些新知识,心里特别高兴,为了防止我这个脑子很快就忘掉,所以趁着热乎,写下来,方便以后回顾一下~ 一、什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是站请求伪造。那么什么是站请求伪造呢?让我一个词一个词的.
java csrf _CSRF-访问保护
weixin_42390873的博客
02-23 220
CSRF访问保护当我们打开此功能时,在提交时就会报错,此时解决方法有1.浏览器支持cookie2.有render方法3.在提交的表单中加入{% csrf_token%},为了生成随机值。现在我们就以第三种为例,就可以解决此类问题了1 {% extends "index.html" %}23 {% block extra-head-resources %}45 6 {% endbloc...
CSRF 站请求伪造(非常详细)零基础入门到精通,收藏这篇就够了
wly55690的博客
12-06 971
之前面试经常被问到 CSRF站请求伪造大概流程比较简单, 大概就是用户登录了A页面,存下来登录凭证(cookie), 攻击者有诱导受害者打开了B页面, B页面中正好像A发送了一个请求,并把cookie进行了携带, 欺骗浏览器以为是用户的行为,进而达到执行危险行为的目的,完成攻击上面就是面试时,我们通常的回答, 但是到底是不是真是这样呢?难道这么容易伪造吗?于是我就打算试一下能不能实现。
CSRF简述-解决方案CORS
Static_HackSun的博客
05-05 642
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚...
csrf攻击
dremcl的博客
03-11 154
csrf攻击原理 请求响应: 从正规网站上注册信息等等,网站会给用户返回一个csrf_token,当用户注册的信息发送时,会带着csrf_token一起返回,若返回的csrf_token一致,则成功,若不一致,则没有响应。钓鱼网站不会csrf_token! 实例 1 首先在model中定义一个表结构 ...
CSRF攻击原理浅谈
DavidFFFFFF的博客
07-18 1126
CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 看了好多文章对csrf原理的解释,一直不明白不明白一个B网站的img标签的请求是如何挟持到A网站的cookies进行模拟请求的。 直到看到一位大佬写的一篇文章,我才大体猜到了其中的原理。 不多废话,直接上核心原理: CSRF攻击是源于WEB的隐式身份验证机制!WEB的身份验证机制虽然可以保证一个请求是来自于某.
安全开发之CSRF(请求伪造)
XZ85201的博客
05-20 1417
概念:CSRF(Cross Site Request Forgery)请求伪造,顾名思义,是在的基础上利用伪造请求而达成的一种攻击手段。
Python面试题-如何解决csrf问题
Tubby__的博客
02-12 473
web后端面试题-如何解决问题 最近在整理Python的web后端面试题,整理到了如何解决问题,如有错误,欢迎指正 前后端不分离的CSRF 在页面HTML提交的form表单前加{ % csrf_token %} 最简单粗暴的方法就是将settings.py配置文件中的CSRF的中间件注掉 前后端分离的CSRF 注销Django中的中间件(django.middleware.c...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值