原生js获取cookie获取scrf防跨站攻击token

最新推荐文章于 2022-11-25 15:00:11 发布

原创最新推荐文章于 2022-11-25 15:00:11 发布 · 1.7k 阅读

0 ·

CC 4.0 BY-SA版权

前端专栏收录该内容

28 篇文章

订阅专栏

本文介绍了一种从客户端cookie中提取_CSRF令牌的方法。通过正则表达式匹配的方式，准确地获取_CSRF值，并对其进行处理以供后续使用。

var _csrf = (/_csrf=[^;]+;?/i).exec(document.cookie);

if(_csrf) {
    _csrf = _csrf[0].replace('_csrf=', '').replace(';', '');
}

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

晴小篆

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

在前端JavaScript中动态获取CSRF令牌的几种方法

qq_42214739的博客

05-08

1621

通过以上任一方法，您可以在前端JavaScript中动态获取并使用CSRF令牌，以保护您的POST请求免受跨站请求伪造攻击。如果CSRF令牌已经包含在HTML页面中（通常是隐藏的输入字段），您可以直接通过DOM API获取它的值。确保在发送AJAX请求时携带CSRF令牌，无论是在请求头中还是在请求体中，这取决于服务器端的期望。某些前端框架或库可能提供了获取CSRF令牌的内置方法或插件，您可以查看您使用的框架或库的文档。在使用CSRF令牌时，避免在不安全的上下文中暴露它，如公共计算机或共享网络。

Django 通过JS实现ajax过程详解

wx1871428的博客

06-09

433

ajax的优缺点 AJAX使用Javascript技术向服务器发送异步请求 AJAX无须刷新整个页面因为服务器响应内容不再是整个页面，而是页面中的局部，所以AJAX性能高小练习：计算两个数的和方式一：这里没有指定contentType：默认是urlencode的方式发的 index.html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8">

参与评论您还未登录，请先登录后发表或查看评论

cookie跨站点访问

12-09

5527

cookie跨站点访问，必须的经过服务器支持以QQ空间和QQ朋友网为例： QQ空间域名：qq.com QQ朋友网域名：pengyou.com 1.首先登录QQ空间，网址：http://ptlogin2.qq.com/login 登录成功后，浏览器中会设置一些Cookie，如： Set-Cookie: skey=@pkkE39h1d; PATH=/; DOMAIN=qq.com

【JS】JS获取cookie里的csrftoken并添加到header里

10相濡以沫

08-18

4164

Django需要csrftoken来进行CSRF的防御既然是前后端都自己写,肯定不能整@csrf_exempt这样的办法 JS用正则表达式获取cookie var regex = /.*csrftoken=([^;.]*).*$/ ; var xCSRFToken = document.cookie.match(regex) === null ? null : document.cookie.match(regex)[1] cookie的样式 Cookie: sessionid=tc3prqefkjt7

Cookie Session跨站无法共享问题(单点登录解决方案)

wtopps的专栏

07-12

5865

单点登录什么是单点登录，举个例子，如果你登录了msn messenger，访问hotmail邮件就不用在此登录。一般单点登录都需要有一个独立的登录站点,一般具有独立的域名，专门的进行注册，登录，注销等操作。我们为了讨论方便，把这个登录站点叫做站点P，设其Url为http://passport.yizhu2000.com，需要提供服务的站点设为A和B，跨站点单点登录是指你在A网站进行登录后，使

spring-security 前后分离如何获取csrf-token

n_rts的博客

02-16

4702

spingboot+security 前后端分离支持csrf

最强面试题整理第三弹：Python 后台开发面试题（附答案）

Rocky0429

08-18

8307

大家好呀，我是 Rocky0429。 Python 面试的时候，会涉及到很多的八股文，我结合自己的经验，整理Python 最强面试题。 Python 最强面试题主要包括以下几方面： Python 基础（已完成） Python 进阶（已完成） Python 后台开发爬虫机器学习对每道面试题会附带详细的答案，无论是准备面试还是自己学习，这份面试题绝对值得你去看，去学习。 Flask 1、Flask 中请求上下文和应用上下文的区别和作用？ current_app、g 是应用上下文。 request、s

Django框架基础知识点

weixin_42218868的博客

08-16

1082

Django框架 1.Django创建项目的命令 django-admin startproject 项目名称 python manage.py startapp 应用app名 2.Django创建项目后，项目文件夹下的组成部分此题考的是学员对MVT 的理解项目文件夹下的组成部分： manage.py 是项目运行的入口，指定配置文件路径。与项目同名的目录，包含项目的配置文件。 init.py ...

Django框架基础知识（面试题）

诗人说梦の СSDN

05-28

1万+

Django框架 1.Django创建项目的命令 django-admin startproject 项目名称 python manage.py startapp 应用app名 2.Django创建项目后，项目文件夹下的组成部分此题考的是学员对MVT的理解项目文件夹下的组成部分： manage.py 是项目运行的入口，指定配置文件路径。与项目同名的目录，包含项目的配...

CSRF xss平台获得cookie

weixin_48266255的博客

08-10

507

CSRF xss平台获得cookie。

csrf校验插件-js

05-03

使用该插件可以在使用js向后端提交数据时进行csrf校验

js拼接html表单csrf_token,如何在javascript中使用{％csrf_token％}

weixin_36033929的博客

06-19

606

在我的用户页面中,我使用ajax进行编辑.当我点击编辑时,它工作正常.但是当我提交表格时,它什么也没做.当我检查时,这是错误：CSRF验证失败.请求中止.那么,我如何在我的javascript中放置{％csrf_token％}？请指教.谢谢.edit.js：function bookmark_edit() {var item = $(this).parent();var url = item.fi...

Django 之前端获取 csrftoken 的几种方式以及源码解释(超详细)

她°

06-10

5262

如果是前后端不分离的项目，django 为了防止 XSS 攻击，要求所有 form 表单提交时加上标签，前端会再 html 中加入一个 input 标签这个中间件就是来验证 csrf_token 如果没有加，就会出错，这个 token 每次刷新页面时都会刷新，客户在请求时。会再服务器端生成一个 token，然后放在 cookie里面，每次 post 请求都会带上这个 token，去和表单里面的去对比。官⽅⽂档中说到，检验token时，只⽐较secret是否和cookie中的secret值⼀样，⽽不是

js如何获取cookie和session里面的token

LJH950908的博客

10-23

7514

首先cookie 网上找的很多document获取的cookie都是假货，根本获取不到。获取cookie需要导入一个js.cookie.js文件。文件地址点击此链接引入<script src="static/js/js.cookie.js"></script> 获取cookie 数组：var arr=Cookies.get(); 获取具体cookie ：...

django如何在js中调用csrf_token变量

白开淡饭

11-21

2916

由于js中不能使用django template所使用的语言，不能调用django中的变量什么的，所以在使用csrt_token时，可以现在html中加入再通过js或者jquery去取出这个input的value $('#like').click(function(){ $.ajax({ type: "POST", url: "/like", data: {'id': $

148.CSRF攻击原理分析、防御、装饰器、中间件、IFrame以及js实现csrf攻击

zjy123078_zjy的博客

02-22

768

CSRF攻击概述： CSRF（Cross Site Request Forgery 跨站域请求伪造）是一种网站攻击的方式，它在2007年曾被列为互联网20大安全隐患之一。其他的安全隐患，比如SQL脚本注入，跨站域脚本攻击等在近年来已经逐渐为众人熟知，很多网站也都针对他们进行了防御。然而，对于大多数人来说，CSRF还是很陌生的，Gmail在2007年底也存在csrf漏洞，从而被黑客攻击而使Gmail...

Egg.js 使用POST方式提交表单时的 CSRF 安全验证问题

GentleSevenV的博客

11-25

713

Egg.js 在使用POST方式提交表单数据时会自动进行 CSRF 安全验证，invalid csrf token。

Ajax之post请求跨站请求csrf_token发送处理de三种方式

Quincy.Coder的博客

11-14

5999

方式一：$.post({ url: '/get_result/', data: { value0: $('#v1').val(), value1: $('#v2').val(), csrfmiddlewaretoken: '{{ csrf_token }}' }

跨域post 及使用token防止csrf 攻击

最新发布

01-09

### Django 前后端分离时的 CSRF 处理在现代Web开发中，前后端分离架构变得越来越普遍。对于基于Django框架的应用程序，在这种架构下保持CSRF防护的有效性和安全性至关重要。 #### 获取并设置CSRF Token 为了使前端能够安全地发起POST请求到Django服务器，必须先从服务器获取CSRF令牌，并将其作为自定义HTTP头的一部分发送给服务器[^1]。这可以通过创建专门用于返回CSRF令牌的API接口来完成： ```python from django.middleware.csrf import get_token from django.http import JsonResponse def get_csrf_token(request): token = get_token(request) return JsonResponse({'csrfToken': token}) ``` 此视图允许客户端通过访问特定URL（例如`/get_token/`）获得当前会话对应的CSRF令牌。 #### 客户端配置一旦获得了CSRF令牌，就需要确保每次向受保护资源发出非GET类型的AJAX请求之前都将该令牌附加到请求头部。以下是使用JavaScript Fetch API的一个简单例子： ```javascript // JavaScript (Frontend) async function fetchWithCsrf(url, method='POST', body=null){ const response = await fetch('/api2/get_token'); let { csrfToken } = await response.json(); const headers = new Headers({ 'X-CSRFToken': csrfToken, 'Content-Type': 'application/json' }); const options = { method: method.toUpperCase(), credentials: 'include', headers: headers, ...(body && {'body': JSON.stringify(body)}) }; return fetch(url, options); } ``` 这段代码展示了如何构建一个通用函数`fetchWithCsrf()`，它接受目标URL和其他可选参数如HTTP动词和负载数据。重要的是要注意这里的`credentials: 'include'`选项，这是为了让浏览器随同跨域请求一起发送Cookie所必需的[^4]。 #### 后端路由配置最后一步是更新Django应用中的URL模式以包含上述新添加的功能。假设已经有一个名为`app/views.py`文件，则可以在项目的根级urls.py中加入相应的路径映射[^2]: ```python urlpatterns = [ ... path('api2/get_token', getToken), ... ] ``` 这里假定`getToken`就是上面提到的那个用来分发CSRF令牌的方法名。