CSRF简述-跨域解决方案CORS

最新推荐文章于 2025-07-09 18:19:41 发布
原创 最新推荐文章于 2025-07-09 18:19:41 发布 · 664 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web

本文深入探讨了CSRF(跨站请求伪造)攻击的概念、原理及其潜在危害,同时介绍了CORS(跨源资源共享)机制,解释了其如何解决跨域问题,保障Web安全。

一.CSRF是什么?

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

二.CSRF可以做什么?

你可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。

三.CSRF漏洞现状

CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别 爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI…而 现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。

四.CSRF的原理

在这里插入图片描述
从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:

1.登录受信任网站A,并在本地生成Cookie。

2.在不登出A的情况下,访问危险网站B。

防御:

1.尽量使用POST,限制GET

2.浏览器Cookie策略

3.Anti CSRF Token

五、跨域解决方案CORS

跨域问题主要是由于浏览器同源策略限制引起,简单来说,就是只相信自己人,不相信外人,只响应同域名发来的http请求,不相信其他域名发来的http请求。好处是减少上当受骗的几率,缺点是不符合webapi的大趋势,api访问会受限。

浏览器同源策略
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说 Web 是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。

它的核心就在于它认为自任何站点装载的信赖内容是不安全的。浏览器只被允许访问来自同一站点的资源,而不是那些来自其它站点可能怀有恶意的资源。

**同源是指:域名、协议、端口相同。**

1、什么是CORS?

CORS (Corss-Orign Resource Sharing) 是W3C工作草案,是一份浏览器技术的规范。定义了跨域资源访问时,浏览器和服务器之间如何通信,使用自定义的http头部允许浏览器和服务器相互了解对方,从而决定请求或响应成功与否。CORS在现代浏览器都支持,使用和普通的ajax没有任何区别,关键是只要服务器实现CORS接口。

2、CORS原理

例如:域名A(http://a.example)的某 Web 应用程序中通过标签引入了域名B(http://b.foo)站点的某图片资源(http://b.foo/image.jpg)。这就是一个跨域请求,请求http报头包含Origin: http://a.example,如果返回的http报头包含响应头 Access-Control-Allow-Origin: http://a.example (或者Access-Control-Allow-Origin: http://a.example),表示域名B接受域名B下的请求,那么这个图片就运行被加载。否则表示拒绝接受请求。

3、CORS跨域请求控制方法

CORS背后的基本思想是使用自定义的HTTP头部允许浏览器和服务器相互了解对方,从而决定请求或响应成功与否.

Access-Control-Allow-Origin:指定授权访问的域
Access-Control-Allow-Methods:授权请求的方法(GET, POST, PUT, DELETE,OPTIONS等)

ehSun.Jaoa
关注
关于csrf 的那些事
dengdongxia的博客
09-03 2080
前言   在这段时间,部门前辈分享了不少干货。我学到了不少内容,并对其进行简单整理,以便更好地转化为自己的知识。 知识探讨部分 关于 产生 协议,名,端口三者其中存在不同都会形成;故,当协议,端口,名三者均相同时,浏览器就会认为是同源,允许加载该资源,否则为不同源。 存在原因:浏览器的同源限制策略 请求:客户端(www.a.com) -》 服务端(www.baidu.com)...
安全开发之CSRF(请求伪造)
XZ85201的博客
05-20 1452
概念:CSRF(Cross Site Request Forgery)请求伪造,顾名思义,是在的基础上利用伪造请求而达成的一种攻击手段。
Django提交表单时遇到403错误:CSRF verification failed
hj1993的博客
03-23 403
原因:有一个真正的站请求伪造,或当Django的CSRF的机制还没有正确使用。
CSRF
ywn0601的博客
01-12 637
了解CSRF
CSRF攻击及预防
song_myth的博客
08-11 881
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状   C
Day244.Springsecurity解决问题、CSRF攻击防护、JWT集群应用方案 -springsecurity-jwt-oauth2
阿昌爱Java
04-11 1286
1.解决访问的问题 一、CORS简述 要说明CORS(Cross Origin Resourse-Sharing) 站资源共享,就必须先说同源策略。长话短说,同源策略就是向服务端发起请求的时候,以下三项必须与当前浏览器应用一致:名、端口、协议。用白话说:就是你的应用发送请求不能访问别人的资源,否则浏览器就会限制你。 当然也有例外,如:img、srcipt、iframe等资源引用的HTML标签不受同源策略的限制。 但是我们实际开发中又经常会站访问,比如前后端分离的应用是分开部署的,在浏览器看来是两
CORS 详解:原理、机制与解决方案
2302_81141145的博客
07-09 1251
CORS(Cross-Origin Resource Sharing,资源共享)是一种基于HTTP 头的机制,允许服务器标识哪些外部源(、协议或端口)可以访问其资源。通过浏览器与服务器的配合,CORS 打破了浏览器默认的 同源策略(Same-Origin Policy),实现了安全的通信。
Django - 问题
LIN的博客
12-21 739
目录 一、同源策略 - 基于浏览器的约定 二、CORS资源共享) - 解决同源策略的阻拦 三、CORS基本流程 3-1 简单请求 3-2 简单请求和非简单请求的处理区别 3-2-1 简单请求实验 - Access-Control-Allow-Origin 3-2-2 非简单请求实验 - Access-Control-Allow-Headers 四、基于Django中间件,解决...
解决方案大比拼】:网关、Nginx和SpringBoot,谁更胜一筹?
[【解决方案大比拼】:网关、Nginx和SpringBoot,谁更胜一筹?](https://segmentfault.com/img/bVdbIhk) # 1. 问题的理论基础和影响 ## 1.1 问题的定义和背景 问题是Web开发中的一个常见现象,指的...
CSRF详解
weixin_46013320的博客
04-22 1981
CSRF(站请求伪造)是一种恶意的利用,攻击者通过伪装成为用户发送请求,执行非用户意愿的操作。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会觉得这是真正的用户操作而去运行。
spring security中的csrf防御原理(请求伪造)
08-25
主要介绍了spring security中的csrf防御机制原理解析(请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
csrf攻击
dremcl的博客
03-11 167
csrf攻击原理 请求响应: 从正规网站上注册信息等等,网站会给用户返回一个csrf_token,当用户注册的信息发送时,会带着csrf_token一起返回,若返回的csrf_token一致,则成功,若不一致,则没有响应。钓鱼网站不会有csrf_token! 实例 1 首先在model中定义一个表结构 ...
既然 cors 配置可以做控制,那可以防止 CSRF 攻击吗
zhangzhangdan的博客
07-30 908
CORS 一点用也没有 form 提交不通过 CORS 检测,你可以在本地进行测试 即使通过 xhr 及 fetch 进行提交被 CORS 拦住,但是对于简单请求而言,请求仍被发送,已造成了攻击
Python面试题-如何解决csrf问题
Tubby__的博客
02-12 486
web后端面试题-如何解决问题 最近在整理Python的web后端面试题,整理到了如何解决问题,如有错误,欢迎指正 前后端不分离的CSRF 在页面HTML提交的form表单前加{ % csrf_token %} 最简单粗暴的方法就是将settings.py配置文件中的CSRF的中间件注掉 前后端分离的CSRF 注销Django中的中间件(django.middleware.c...
什么是?什么是CSRF?
weixin_33758863的博客
04-02 251
(参考链接:https://www.jianshu.com/p/f880878c1398) 什么是?   在 HTML 中,<a>, <form>, <img>, <script>, <iframe>, <link> 等标签以及 Ajax 都可以指向一个资源地址,而所谓的请求就是指:当前发起请求的与该请求指向的资...
CSRF攻击
王子老师
03-03 956
我们都在奔赴不同的人生,只希望能在赚不到大钱的日子里能赚到比钱更珍贵的东西。 问题 问题发生在,浏览器向后端发起请求之后,后端向前端返回数据的时候。通常后端会正常返回数据,但是前端会判断此时返回数据的url和第一次访问前端项目url不一样,就会选择拒绝绝收数据,此时发生了。这也是浏览器的同源策略所导致的。 主要是指名、端口、IP不一致, 浏览器的同源策略也避免了一些安全问题。所谓同源是指"协议+名+端口"三者相同,即便两个不同的名指向同一个ip地址,也非同源。 如果没有同源策略,比如
Django中解决csrf问题
IT菜鸟
06-30 1180
参考博客 post请求实现方案小结--转 一、问题综述 1. 同源:协议,名,端口相同 2. 同源策略:一个名下面的js,没有经过允许是不能读取另外一个名的内容,浏览器不允许js访问别的,但是浏览器不阻止你向另外一个名发送请求。 2.CSRF(Cross-site request forgery)站请求伪造,也被称为“One Click Attack”或者Sess...
关于CSRF请求伪造的解决办法
weixin_33729196的博客
09-29 385
中秋节时候我们的应用在短信验证码这块被恶意刷单,比如被用来做垃圾短信之类的,如果大规模被刷也能造成不小的损失。这还只是短信验证码,如果重要的API遭到CSRF的攻击,损失不可估量。所以紧急加班解决了CSRF的攻击问题。 CSRF是什么鬼? CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session rid...
CSRF站请求伪造)的理解
移动端开发干货分享
04-15 797
原文:https://my.oschina.net/jasonultimate/blog/212554 下班的时候跟公司大神一起走,问了他几个问题,接着就给我讲了XSS攻击和CSRF攻击,他通过举例子的方式讲解,通俗易懂,感觉收获很大!又学到了一些新知识,心里特别高兴,为了防止我这个脑子很快就忘掉,所以趁着热乎,写下来,方便以后回顾一下~ 一、什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是站请求伪造。那么什么是站请求伪造呢?让我一个词一个词的.
vue3+springboot前后端联调遇到缺失CSRF怎么办
最新发布
09-14
<think> 首先,用户的问题是关于Vue3和Spring Boot前后端联调时遇到的缺失CSRF问题的解决方案。我需要参考提供的引用内容,并结合一般知识来回答。 回顾引用内容: - 引用[1]:讨论了Vue3和Django后端联调,包括Axios配置、CORS解决等,但没有提到CSRF- 引用[2]:关于后端解决问题,提到Spring后端配置CORS- 引用[3]:Spring Boot中配置JWT拦截器,用于认证。 - 引用[4]:Spring Boot中修改权限限制,添加@AnonymousAccess注解来免登录访问。 这些引用都没有直接提到CSRF问题。CSRF(Cross-Site Request Forgery)是另一个安全问题,通常涉及在请求中包含CSRF令牌以防止站请求伪造。 用户的问题是“缺失CSRF问题”,意思是后端要求CSRF保护,但前端没有提供CSRF令牌,导致请求被拒绝。 在Spring Boot中,CSRF保护默认是启用的,尤其是如果你使用了Spring Security。当进行POST、PUT等非安全请求时,需要提供一个CSRF令牌。 解决方案涉及两方面: 1. **后端(Spring Boot)配置**:你可能需要调整Spring Security配置来处理CSRF,或者根据需求禁用CSRF(不推荐)。 2. **前端(Vue3)配置**:在Axios中添加CSRF令牌到请求头中。 从提供的引用中: - 引用[1]提到Axios配置了请求拦截器,用于添加Authorization Token。同样地,可以扩展这个拦截器来处理CSRF令牌。 - 引用[3]和[4]讨论了Spring Security的拦截器和权限配置,但没有具体提到CSRF。 一般步骤: - **后端配置**: - 在Spring Security配置中,确保CSRF保护没有被禁用(默认启用)。 - 或者,如果你不需要CSRF保护(例如在API服务中),可以禁用它,但这会降低安全性。 - 在Spring Boot应用中,通常禁用CSRF保护的方法是:在SecurityConfig中添加`.csrf().disable()`。 - **前端配置**: - 在Vue3中使用Axios,你需要从前端获取CSRF_TOKEN(通常从cookie中),并在每个请求中添加它到头部。 - Spring Security期望CSRF令牌在名为"X-CSRF-TOKEN"的头部中,或者作为参数。 引用中没有直接信息,但我可以参考引用[1]中的Axios配置来扩展。 在引用[1]中: - 他们创建了Axios实例,并添加了请求拦截器来添加Authorization头部。 - 同样地,可以添加逻辑来处理CSRF令牌。 可能的解决方案: 1. **后端禁用CSRF(不推荐)**: - 在Spring Security配置文件中,添加`.csrf().disable()`。 - 例如,在你的代码中,类似引用[4]中的SecurityConfig.java,添加这个方法。 2. **前端添加CSRF令牌(推荐)**: - 在Axios请求拦截器中,从cookie读取CSRF令牌并添加到头部。 - 在Spring Boot应用中,CSRF令牌通常存储在一个cookie中,名为"XSRF-TOKEN",但你可能需要配置它。 - 在Axios中,你可以使用`withCredentials: true`来发送cookies,然后从cookie中提取令牌。 标准做法: - 后端发送一个CSRF令牌给前端,通常通过响应设置一个cookie。 - 前端在后续请求中,将这个令牌添加到头部。 在Axios拦截器中(引用[1]中的utils/request.ts),添加代码来处理CSRF令牌。 例如,在请求拦截器中: ```javascript // 从cookie中获取CSRF令牌 const token = getCookie('XSRF-TOKEN'); // 假设cookie名称是XSRF-TOKEN if (token) { config.headers['X-XSRF-TOKEN'] = token; // 常见头部名称 } ``` Axios可能有内置支持,但需要配置。 参考引用[1],他们使用了环境变量和拦截器,因此可以直接扩展该文件。 回答结构: - 系统级指令:使用中文,数学格式用$...$或$$...$$(但如果不需要数学内容,可以不添加),引用末尾添加标识。 - 用户可见层:结构清晰,逐步解决问题。 - 生成相关问题。 回答大纲: 1. **解释问题**:简述CSRF问题和为什么会出现缺失CSRF问题。 2. **后端解决方案**: - 选项1:禁用CSRF保护(不安全)。 - 选项2:配置Spring Security发送CSRF令牌。 3. **前端解决方案**: - 如何在Axios中添加CSRF令牌到请求头。 4. **完整示例**:基于引用[1]中的utils/request.ts,扩展拦截器。 5. **测试建议**。 6. **相关问题**。 生成相关问题: 1. 如何在Spring Boot中配置CSRF保护? 2. Axios如何处理和凭证? 3. CSRF保护的最佳实践是什么? 引用标识:在回答中,如果引用内容,添加[^1]等。但用户提供的引用中没有直接关于CSRF的,所以我可能需要基于一般知识回答,并标记引用。 例如,提到引用[1]中的Axios配置时,添加[^1]。 最终回答: - 开头:直接回答问题。 - 主体:分步骤解释。 - 结尾:相关问题。 </think> ### Vue3与Spring Boot前后端联调缺失CSRF问题的解决方案 在Vue3和Spring Boot前后端分离项目中,缺失CSRF(Cross-Site Request Forgery)保护常见于非GET请求(如POST、PUT、DELETE)被后端拒绝(通常返回403状态码),因为Spring Security默认启用了CSRF防护机制,但前端未在请求中提供有效的CSRF令牌。以下是基于最佳实践的分步解决方案,参考了您提供的引用内容并结合标准配置逻辑。 --- ### 一、问题原因分析 - **CSRF保护机制**:Spring Boot的Spring Security模块默认要求所有非安全请求(非GET)附带CSRF令牌,以防止站请求伪造攻击。 - **前端缺失令牌**:Vue3使用Axios发送请求时,未主动包含CSRF令牌(通常存储在Cookie中)。 - **典型错误现象**:后端返回403错误,或Spring Security日志提示“Invalid CSRF token found”。 - 参考引用[^1],Axios拦截器已配置Authorization头部但未处理CSRF,导致认证通过但CSRF防护失败。 --- ### 二、后端解决方案(Spring Boot) 在Spring Boot中,优先选择配置CSRF令牌的生成和验证机制(而非完全禁用,以保障安全性)。以下是两种方法: 1. **发送CSRF令牌给前端(推荐)** Spring Security默认通过Cookie发送CSRF令牌(名为`XSRF-TOKEN`)。确保后端配置允许凭证(CORS with credentials),避免浏览器阻塞Cookie。 示例:在Spring Security配置中添加CORSCSRF设置(参考引用[^2]和[^4])。 ```java import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.CorsConfigurationSource; import org.springframework.web.cors.UrlBasedCorsConfigurationSource; import java.util.Arrays; @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .cors().configurationSource(corsConfigurationSource()) // 启用CORS配置 .and() .csrf(csrf -> csrf.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())) // 使用Cookie存储CSRF令牌 .authorizeRequests() .antMatchers("/api/**").authenticated() .anyRequest().permitAll(); } @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.setAllowedOrigins(Arrays.asList("http://localhost:5173")); // Vue3开发地址 configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE")); configuration.setAllowCredentials(true); // 允许凭证(关键:携带Cookie) configuration.addAllowedHeader("*"); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } } ``` - **关键点**: - `CookieCsrfTokenRepository.withHttpOnlyFalse()`:将CSRF令牌存储在名为`XSRF-TOKEN`的Cookie中(前端可读取)。 - `configuration.setAllowCredentials(true)`:确保CORS支持凭证传输(参考引用[^2]的CORS配置)。 - 如果后端已有类似引用[^3]的拦截器,确保它不覆盖CSRF逻辑。 2. **禁用CSRF保护(不推荐,仅用于测试)** 如果项目无需高安全性(如内部API),可临时禁用CSRF: ```java @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() // 禁用CSRF防护 .authorizeRequests() .antMatchers("/api/**").authenticated() .anyRequest().permitAll(); } ``` - **风险**:禁用后系统易受CSRF攻击,仅限开发环境使用。 - 参考引用[^4],类似`@AnonymousAccess`注解可豁免认证,但CSRF需单独处理。 --- ### 三、前端解决方案(Vue3 + Axios) 在Vue3中,通过Axios请求拦截器自动添加CSRF令牌到请求头。基于引用[^1]的封装实例(`utils/request.ts`),扩展拦截器逻辑。 1. **修改Axios实例配置** 在`utils/request.ts`中,添加CSRF令牌处理: ```typescript import axios from 'axios'; import { getCookie } from '@/utils/cookies'; // 假设有cookie工具函数 const service = axios.create({ baseURL: import.meta.env.VITE_API_BASE_URL, // Vite环境变量(引用[^1]) timeout: 5000, withCredentials: true, // 允许发送Cookie(关键:携带CSRF令牌) }); // 请求拦截器:添加CSRF令牌 service.interceptors.request.use( (config) => { const token = getCookie('XSRF-TOKEN'); // 读取Spring发送的Cookie if (token && config.method !== 'get') { config.headers['X-XSRF-TOKEN'] = token; // Spring Security默认识别此头部 } // 保留原有的Authorization逻辑(引用[^1]) if (localStorage.getItem('token')) { config.headers.Authorization = `Bearer ${localStorage.getItem('token')}`; } return config; }, (error) => { return Promise.reject(error); } ); // 响应拦截器(保留引用[^1]的错误处理) service.interceptors.response.use( (response) => response, (error) => { if (error.response.status === 401) { // 处理登出逻辑 } return Promise.reject(error); } ); export default service; ``` - **关键点**: - `withCredentials: true`:确保浏览器发送Cookie(参考引用[^1]的配置)。 - `getCookie('XSRF-TOKEN')`:从Cookie读取令牌(需后端配置正确发送)。 - 非GET请求添加`X-XSRF-TOKEN`头部(Spring Security的标准要求)。 2. **添加cookie工具函数** 创建`utils/cookies.ts`辅助读取Cookie: ```typescript export function getCookie(name: string): string | null { const value = `; ${document.cookie}`; const parts = value.split(`; ${name}=`); if (parts.length === 2) return parts.pop()?.split(';').shift() || null; return null; } ``` --- ### 四、完整流程与测试建议 1. **后端配置**: - 部署Spring Security的CORSCSRF逻辑。 - 重启后端服务。 2. **前端配置**: - 更新`utils/request.ts`,添加CSRF处理。 - 在Vue组件中调用API(如引用[^1]中的`ProjectListView.vue`)。 3. **测试步骤**: - 发送POST请求(如登录或数据提交)。 - 检查浏览器开发者工具: - 请求头部应包含`X-XSRF-TOKEN`。 - Cookies中应有`XSRF-TOKEN`值。 - 后端日志确认无CSRF错误。 > **注意**:如果使用JWT等Token认证(参考引用[^3]),CSRF保护可能冗余,但Spring Security默认仍需处理。生产环境建议保留CSRF以增强安全[^1]。 --- ### 相关问题 1. 如何在Spring Boot中自定义CSRF令牌的存储和验证逻辑? 2. Vue3的Axios拦截器如何处理其他常见安全问题(如XSS防护)? 3. 前后端分离项目中,除CSRF外,还有哪些常见的安全配置需要注意? [^1]: Vue3 + Axios 异步通信实战,涵盖Axios配置、CORS解决和拦截器逻辑。 [^2]: Spring Boot后端CORS配置方法。 [^3]: Spring Security拦截器实现JWT认证。 [^4]: Spring Security权限控制和免登录访问注解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值