原生js获取cookie获取scrf防跨站攻击token

最新推荐文章于 2024-09-08 20:33:27 发布
最新推荐文章于 2024-09-08 20:33:27 发布
阅读量1.7k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38355456/article/details/78113716
本文介绍了一种从客户端cookie中提取_CSRF令牌的方法。通过正则表达式匹配的方式,准确地获取_CSRF值,并对其进行处理以供后续使用。 
var _csrf = (/_csrf=[^;]+;?/i).exec(document.cookie);

if(_csrf) {
    _csrf = _csrf[0].replace('_csrf=', '').replace(';', '');
}


在前端JavaScript中动态获取CSRF令牌的几种方法
qq_42214739的博客
05-08 1621
通过以上任一方法,您可以在前端JavaScript中动态获取并使用CSRF令牌,以保护您的POST请求免受跨站请求伪造攻击。如果CSRF令牌已经包含在HTML页面中(通常是隐藏的输入字段),您可以直接通过DOM API获取它的。确保在发送AJAX请求时携带CSRF令牌,无论是在请求头中还是在请求体中,这取决于服务器端的期望。某些前端框架或库可能提供了获取CSRF令牌的内置方法或插件,您可以查看您使用的框架或库的文档。在使用CSRF令牌时,避免在不安全的上下文中暴露它,如公共计算机或共享网络。
springboot+thymeleaf实现如何御XSS、SQL注入、SCRF盗链攻击
qq_37894645的博客
12-30 1543
Web安全常见攻击手段 XSS、SQL注入、盗链、CSRF、上传漏洞 一、 XSS攻击 什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 表单提交数据 下面由 thymeleaf + spring Boot 2.2.4 代码实现: 1、省略创建maven工程步骤 2.、修改pom.xml <parent> <groupId>org.spr
cookie跨站点访问
12-09 5527
cookie跨站点访问,必须的经过服务器支持 以QQ空间和QQ朋友网为例: QQ空间域名:qq.com QQ朋友网域名:pengyou.com 1.首先登录QQ空间,网址:http://ptlogin2.qq.com/login 登录成功后,浏览器中会设置一些Cookie,如: Set-Cookie: skey=@pkkE39h1d; PATH=/; DOMAIN=qq.com
JSJS获取cookie里的csrftoken并添加到header里
10相濡以沫
08-18 4164
Django需要csrftoken来进行CSRF的御 既然是前后端都自己写,肯定不能整@csrf_exempt这样的办法 JS用正则表达式获取cookie var regex = /.*csrftoken=([^;.]*).*$/ ; var xCSRFToken = document.cookie.match(regex) === null ? null : document.cookie.match(regex)[1] cookie的样式 Cookie: sessionid=tc3prqefkjt7
Cookie Session跨站无法共享问题(单点登录解决方案)
wtopps的专栏
07-12 5865
单点登录什么是单点登录,举个例子,如果你登录了msn messenger,访问hotmail邮件就不用在此登录。 一般单点登录都需要有一个独立的登录站点,一般具有独立的域名,专门的进行注册,登录,注销等操作。 我们为了讨论方便,把这个登录站点叫做站点P,设其Url为http://passport.yizhu2000.com,需要提供服务的站点设为A和B,跨站点单点登录是指你在A网站进行登录后,使
spring-security 前后分离如何获取csrf-token
n_rts的博客
02-16 4701
spingboot+security 前后端分离支持csrf
Web安全之CSRF攻击详解与
J老熊
09-08 2272
CSRF攻击是指黑客通过欺骗用户在不知情的情况下向受信任的服务器发送请求,从而执行用户并未授权的操作。由于浏览器的同源策略,浏览器会自动携带当前登录用户的身份凭证(如Cookie),导致服务器误以为请求是合法用户发出的。用户登录电商系统,并在浏览器中保持会话(比如通过Cookie保存登录状态)。攻击者构造一个恶意网站,诱导用户访问该网站。恶意网站通过用户的浏览器向电商系统发送请求,例如提交订单、修改账户信息等。由于用户已经登录,服务器在收到请求时会认为是合法请求,从而执行攻击者的恶意操作。
【CSRF-01】跨站请求伪造漏洞基础原理及攻
m0_64378913的博客
07-01 1856
定义:CSRF(Cross-site request forgery,跨站请求伪造) 也被称为One Click Attack 或者 Session Riding ,通常缩写为 CSRF或者XSRF,是一种欺骗受害者提交恶意请求的攻击。它继承了受害者的身份和特权,代表受害者执行非本意、恶意的操作。它强制终端用户在当前对其进行身份验证后的Web应用程序上执行非本意的操作。发生地点:Web应用程序上,不是系统也不是组件。 发生时间:在终端用户在当前对其进行身份验证后。 发生形式:“强制”执行用户非本意的操作,此
CSRF攻击
mocas_wang的博客
12-22 3336
目录 1 CSRF介绍 1.1、CRSF攻击原理 1.2、攻击举例 2 攻击实例 2.1 CSRF的原理 2.2 CSRF的御 1 CSRF介绍 CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,...
flask基础十五之CSRF跨站请求伪造
feilzhang的博客
07-14 1213
CSRFCSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题:个人隐私泄露以及财产安全。CSRF攻击示意图客户端访问服务器时没有同服务器做安全验证止 CSRF 攻击步骤在客户端向后端请求界面数据的时候,后端会往响...
csrf校验插件-js
05-03
使用该插件可以在使用js后端提交数据时进行csrf校验
CSRF xss平台获得cookie
weixin_48266255的博客
08-10 507
CSRF xss平台获得cookie
js拼接html表单csrf_token,如何在javascript中使用{%csrf_token%}
weixin_36033929的博客
06-19 606
在我的用户页面中,我使用ajax进行编辑.当我点击编辑时,它工作正常.但是当我提交表格时,它什么也没做.当我检查时,这是错误:CSRF验证失败.请求中止.那么,我如何在我的javascript中放置{%csrf_token%}?请指教.谢谢.edit.js:function bookmark_edit() {var item = $(this).parent();var url = item.fi...
Django 之前端获取 csrftoken 的几种方式以及源码解释(超详细)
她°
06-10 5262
如果是前后端不分离的项目,django 为了止 XSS 攻击,要求所有 form 表单提交时加上 标签,前端会再 html 中加入一个 input 标签 这个中间件就是来验证 csrf_token 如果没有加,就会出错,这个 token 每次刷新页面时都会刷新,客户在请求时。会再服务器端生成一个 token,然后放在 cookie里面,每次 post 请求都会带上这个 token,去和表单里面的去对比。官⽅⽂档中说到,检验token时,只⽐较secret是否和cookie中的secret⼀样,⽽不是
js如何获取cookie和session里面的token
LJH950908的博客
10-23 7514
首先cookie 网上找的很多document获取cookie都是假货,根本获取不到。 获取cookie需要导入 一个js.cookie.js文件。 文件地址点击此链接 引入<script src="static/js/js.cookie.js"></script> 获取cookie 数组:var arr=Cookies.get(); 获取具体cookie :...
django如何在js中调用csrf_token变量
白开淡饭
11-21 2916
由于js中不能使用django template所使用的语言,不能调用django中的变量什么的,所以在使用csrt_token时,可以现在html中加入 再通过js或者jquery去取出这个input的value $('#like').click(function(){ $.ajax({ type: "POST", url: "/like", data: {'id': $
148.CSRF攻击原理分析、御、装饰器、中间件、IFrame以及js实现csrf攻击
zjy123078_zjy的博客
02-22 768
CSRF攻击概述: CSRF(Cross Site Request Forgery 跨站域请求伪造)是一种网站攻击的方式,它在2007年曾被列为互联网20大安全隐患之一。其他的安全隐患,比如SQL脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了御。然而,对于大多数人来说,CSRF还是很陌生的,Gmail在2007年底也存在csrf漏洞,从而被黑客攻击而使Gmail...
Egg.js 使用POST方式提交表单时的 CSRF 安全验证问题
GentleSevenV的博客
11-25 713
Egg.js 在使用POST方式提交表单数据时会自动进行 CSRF 安全验证,invalid csrf token
Ajax之post请求跨站请求csrf_token发送处理de三种方式
Quincy.Coder的博客
11-14 5999
方式一:$.post({ url: '/get_result/', data: { value0: $('#v1').val(), value1: $('#v2').val(), csrfmiddlewaretoken: '{{ csrf_token }}' }
django前后端分离SCRF
最新发布
01-09
### Django 前后端分离时的 CSRF 处理 在现代Web开发中,前后端分离架构变得越来越普遍。对于基于Django框架的应用程序,在这种架构下保持CSRF护的有效性和安全性至关重要。 #### 获取并设置CSRF Token 为了使前端能够安全地发起POST请求到Django服务器,必须先从服务器获取CSRF令牌,并将其作为自定义HTTP头的一部分发送给服务器[^1]。这可以通过创建专门用于返回CSRF令牌的API接口来完成: ```python from django.middleware.csrf import get_token from django.http import JsonResponse def get_csrf_token(request): token = get_token(request) return JsonResponse({'csrfToken': token}) ``` 此视图允许客户端通过访问特定URL(例如`/get_token/`)获得当前会话对应的CSRF令牌。 #### 客户端配置 一旦获得了CSRF令牌,就需要确保每次向受保护资源发出非GET类型的AJAX请求之前都将该令牌附加到请求头部。以下是使用JavaScript Fetch API的一个简单例子: ```javascript // JavaScript (Frontend) async function fetchWithCsrf(url, method='POST', body=null){ const response = await fetch('/api2/get_token'); let { csrfToken } = await response.json(); const headers = new Headers({ 'X-CSRFToken': csrfToken, 'Content-Type': 'application/json' }); const options = { method: method.toUpperCase(), credentials: 'include', headers: headers, ...(body && {'body': JSON.stringify(body)}) }; return fetch(url, options); } ``` 这段代码展示了如何构建一个通用函数`fetchWithCsrf()`,它接受目标URL和其他可选参数如HTTP动词和负载数据。重要的是要注意这里的`credentials: 'include'`选项,这是为了让浏览器随同跨域请求一起发送Cookie所必需的[^4]。 #### 后端路由配置 最后一步是更新Django应用中的URL模式以包含上述新添加的功能。假设已经有一个名为`app/views.py`文件,则可以在项目的根级urls.py中加入相应的路径映射[^2]: ```python urlpatterns = [ ... path('api2/get_token', getToken), ... ] ``` 这里假定`getToken`就是上面提到的那个用来分发CSRF令牌的方法名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值