前端安全学习-跨域和CSRF

最新推荐文章于 2024-08-01 15:35:18 发布
原创 最新推荐文章于 2024-08-01 15:35:18 发布 · 205 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文深入解析跨域问题的本质,即请求虽成功但结果被浏览器拦截。详述五种跨域处理方法:JSONP仅支持GET请求;CORS需服务端配置且IE10以上支持;window.postMessage适用于主页面与iframe间数据传递;WebSocket实现实时双向通信;及通过代理服务器解决跨域问题。文章还提供了前端开发中利用Node搭建服务器作为中间层的技巧。

重点

跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被客户端(浏览器)拦截了。

跨域方法

JSONP

只能GET,js创建script

CORS

IE10以上支持,需要服务端配置

window.postMessage

HTML5方法,应用于主页面和iframe之间的数据传递

//页面向子页面传递:
//主页面
<iframe id="ifm" src="http://localhost:8080/" width="800" height="500"></iframe>
<script>
document.getElementById('ifm').onload = e=>{
	e.target.contentWindow.postMessage({info:'这是来自主页面的信息'},'*')
}
</script>
//子页面
<script>
window.onmessage = (event) => {
    console.log(event)
}
</script>

//子页面向主页面传递
//主页面
<iframe id="ifm" src="http://localhost:8080/" width="800" height="500"></iframe>
<script>
window.onmessage = (event) => {
    console.log(event)
}
</script>
//子页面
<script>
top.postMessage({info:'这是来自子页面的信息'},'*')
</script>
//子页面

web socket

document.domain

window.name

代理

  1. 跨域只是客户端拦截
  2. 前端开发可以使用node搭建服务器

基于以上两点,可以通过同源服务器做中间层转换域名的方式实现跨域请求。

参考:
跨域-掘金
window.postMessage

网络安全:(二十五)前端站请求伪造(CSRF访问安全策略
一名热衷于技术的全栈开发者,专注于前端与后端的全面技术探索。在这里,我将分享我在技术领域的学习与成长,助力更多开发者的进步。
11-09 1261
站请求伪造(Cross-Site Request Forgery,简称 CSRF)是一种攻击方式,攻击者诱导已登录的用户在不知情的情况下向受信任的 Web 应用发送恶意请求。由于用户的身份认证信息(如 Cookie)会自动随请求发送,因此恶意请求会被认为是用户发起的,攻击者借此可以执行未经授权的操作,如转账、修改账户信息等。
前端安全系列-如何防止CSRF攻击
javagty6778的博客
03-07 411
Token是一个比较有效的CSRF防护方法,只要页面没有XSS漏洞泄露Token,那么接口的CSRF攻击就无法成功。但是此方法的实现比较复杂,需要给每一个页面都写入Token(前端无法使用纯静态页面),每一个Form及Ajax请求都携带这个Token,后端对每一个接口都进行校验,并保证页面Token及请求Token一致。这就使得这个防护策略不能在通用的拦截上统一拦截处理,而需要每一个页面接口都添加对应的输出校验。这种方法工作量巨大,且有可能遗漏。
2021前端面试题系列:fetch与axios、浏览器内多个标签页面通信及安全问题
前端岚枫
11-11 4959
大家好,我是前端岚枫,今天主要跟大家分享我整理的笔记2021前端面试题系列:fetch与axios、浏览器内标签页之间的通讯方法、XSS CSRF以及如何防范,此方面内容在我们的工作中常用到, 也是面试官经常提问的问题,希望下面文章对大家有所帮助。 fetch与axios 问题分析 fetch与axios的定位认识。fetch是浏览器提供的api,axios是社区封装的一个组件。 fetch 是一个低层次的API,你可以把它考虑成原生的XHR,所以使用起来并不是那么舒服,需要进行封装。多年来,XML.
浏览器中的同源策略、CORS 以及相关的 Fetch API 使用
最新发布
henry_23的博客
08-01 2283
笔者对前端 Web 技术的认真学习,其实开始于与 Fetch API 的邂逅。当时觉得fetch()的设计很不错,也很希望能够请求其它网站下的数据并作处理展示。学习过程中 HTML CSS 都还好说,由于几乎没有 Web 技术的基础,学习 Fetch API 的时候费了不少功夫,主要是其中涉及不少 HTTP 标头相关知识习惯,也不理解 Fetch API 中很多属性参数的意义或者为什么这么设计,更不必说 JavaScript 多种多样的版本语法,以及十分重要的异步 I/O。
fetch的基本使用
qq_64469057的博客
03-14 2456
fetch的使用
CSRF&SSRF
qq_49714982的博客
03-01 415
站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web上执行非本意的操作的攻击方法。跟(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是对用户的信任。实际上是攻击者借用了受害者的Session,欺骗服务器进行操作。
CSRF详解
幽雨雨幽
10-23 794
What's CSRFCSRF(Cross-site request forgery)站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF,是一种对网站的恶意利用。尽管听起来像站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。 洞的成因就是网站的cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要是访问这个网站,都会默认你已经登录的状态。而在这
不同版本浏览器前端标准兼容性对照表以及CORS解决CSRF安全问题解决方案.docx
10-26
本文主要讨论了浏览器前端标准的兼容性对照表以及如何利用CORS解决CSRF安全问题。 首先,不同版本浏览器的前端标准兼容性差异显著,因为各浏览器厂商在不同时间点实现了不同的Web标准。例如,CORS(Cross-...
10 SpringSecurity-请求伪造(CSRF)的防护
02-22 4456
一、CSRF CSRF的全称是(Cross Site Request Forgery),可译为请求伪造,是一种利用用户带登录 态的cookie进行安全操作的攻击方式。CSRF实际上并不难防,但常常被系统开发者忽略,从而埋下巨 大的安全隐患。 二、攻击过程 举个例子,假设你登录了邮箱,正常情况下可以通过某个链接http:xx.mail.com/send可以发送邮件。此时你又访问了别的网站,网站中有黄色广告,点击后广告会请求http:xx.mail.com/send。此时相当于在盗版网站中调用了发送邮
面试宝典-浏览器交互常见问题汇总
老男孩的博客
11-05 764
学习目标 一次完整的http服务过程 能够说出一次完整的http服务的几个阶段 能够说出html的渲染过程 能够说出常见的http请求状态码 http缓存控制 能够理解http缓存控制 主要是指浏览器缓存 知道强缓存协商缓存 知道http强缓存的控制字段 知道协商缓存的配置方式各自的优缺点 fetch与axios 理解fetchaxios分别是什么? 掌握fetch的优缺点 掌握axios的优缺点 浏览器内多个标签页之间的通讯 知道浏览器多个标签页通讯的常见使用场景
CSRF知识点
Richard_qi的博客
04-11 1108
CSRF知识总结 一.CSRF基础知识 csrf漏洞简介 CSRF(Cross-site request forgery)站请求伪造:攻击者诱导受害者进入第三方网站, 在第三方网站中,向被攻击网站发送站请求。 利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的 csrf与xss区别 XSS:站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。 它允许恶意用户将代码注入到网页上,其
SpringSecurity(10)——Csrf防护
peng_gx的博客
01-20 2691
SpringSecurity Csrf防护
彻底理解前端安全面试题(2)—— CSRF 攻击,站请求伪造攻击详解,建议收藏(含源码)
有一棵树的博客
01-02 2809
前端关于网络安全看似高深莫测,其实来来回回就那么点东西,我总结一下就是 3 + 1 = 4,3个用字母描述的【分别是 XSS、CSRF、CORS】 + 一个中间人攻击。当然 CORS 同源策略是为了防止攻击的安全策略,其他的都是网络攻击。除了这 4 个前端相关的面试题,其他的都是一些不常用的小喽啰。我将会在我的《面试题一网打尽》专栏中先逐一详细介绍,然后再来一篇文章总结,预计一共5篇文章,欢迎大家关注~本篇文章是前端网络安全相关的第一篇文章,内容就是 CSRF 攻击。
前端安全CSRF 攻击原理防护方法
weixin_59124055的博客
06-13 6388
CSRF(Cross-site request forgery)简称:站请求伪造,学习 CSRF 攻击原理防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全面理解需要系统的学习 Cookie,前端,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击防护方法是前端进阶要去,我也希望大家
fetch浅谈
CZBBhkrx的博客
01-28 1039
引入fetch相关依赖 import 'whatwg-fetch'   import 'es6-promise' export function getData() {     // '/api/1' 获取字符串     var result = fetch('/api/1', {         credentials: 'include',         headers: {
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 2924
本篇总结归纳CSRF漏洞
fetchaxios区别比较
bangbDIV的博客
01-02 2018
1.fetch try { let response = await fetch(url); let data = response.json(); console.log(data); } catch(e) { console.log("Oops, error", e); } 特点 更加底层,提供的API丰富(request, response) 脱离了XHR,是ES...
post 及 使用token防止csrf 攻击
热门推荐
ymark
12-30 3万+
1.利用iframe进行post提交 2.csrf的攻击防御措施 3.使用token保护请求 4.关于webapp提交的问题
淘宝网前端安全入门:XSS与CSRF防范详解
参考资源部分提供了深入学习前端安全的各类链接,包括Wikipedia、GraceCode网站的文章以及专门的XSS防御指南等,供读者进一步研究实践。 这份PPT为前端开发者提供了一个全面且实用的前端安全指南,强调了预防...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值