Ajax解决csrf_token的不同方式

最新推荐文章于 2023-05-07 11:12:09 发布
转载 最新推荐文章于 2023-05-07 11:12:09 发布 · 978 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/Neeo/p/7677958.html
文章标签:

#javascript #ViewUI

本文介绍了两种在AJAX请求中发送CSRF Token的方法:一种是在请求前通过beforeSend将Token添加到Header中;另一种是在data参数中直接包含Token。文章提供了具体的JavaScript代码示例,并展示了如何在HTML页面中获取和使用CSRF Token。

 ajax发送csrf_token的不同方式:

方式一:

在ajax发送之前,做好处理,用到了beforeSend方法,把csrf_token写入到Header头内,csrf_token去jquery.cookie内取,但是,想要去cookie内取,首先要引用jquery.cookie.js文件;

jquery.cookie.js官网:http://plugins.jquery.com/cookie/ 

jquery-cookie官网:http://www.bootcdn.cn/jquery-cookie/

jquery-cookie的cdn:

  https://cdn.bootcss.com/jquery-cookie/1.4.1/jquery.cookie.js

  <script src="https://cdn.bootcss.com/jquery-cookie/1.4.1/jquery.cookie.js"></script>

    //ajax在发送之前,做的header头
    function csrfSafeMethod(method) {
        // 匹配method的请求模式,js正则匹配用test
        return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
    };
    
    // 为ajax请求做csrf_token
    $.ajaxSetup({
        beforeSend:function (xhr, settings) {
            // 在请求头设置一次csrf_token,除了上面正则匹配到的不带csrf_token,其他的都要带
            if(!csrfSafeMethod(settings.type)){
                xhr.setRequestHeader("x-CSRFToken", $.cookie("csrftoken"));
            }
        }
    });
beforeSend

方式二:

在ajax发送的时候加在data里:

data:{"csrfmiddlewaretoken":$("[name='csrfmiddlewaretoken']").val(), "k1":v1, "k2":"v2",}  # 这个的话,还要在body里去找{% csrf_token %}
data:{'user':user,'pwd':pwd,'csrfmiddlewaretoken':'{{ csrf_token }}'},    # 这个最方便,直接在这渲染了
# for example:
{% load staticfiles %}
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="x-ua-compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <title>MyQuotion</title>
    <link rel="stylesheet" href="{% static 'bootstrap.min.css' %}">
    <script src="{% static 'jquery-3.2.1.js' %}"></script>
    <script src="{% static 'bootstrap.js' %}"></script>
</head>
<body>
<div class="container">
    <div class="row col-md-5 col-lg-offset-2">
        {% csrf_token %}
        <input type="text" class="form-control" id="user"/>
        <input type="password" class="form-control" id="pwd"/>
        <button class="btn btn-default" id="sure">确定</button>
    </div>
</div>
</body>
<script>
    $('#sure').click(function () {
        var user = $('#user').val();
        var pwd = $('#pwd').val();
        console.log(user,pwd);
        $.ajax({
            url:'http://127.0.0.1:8055/account/login/',
            type: 'POST',
            data:{'user':user,'pwd':pwd,"csrfmiddlewaretoken":$("[name='csrfmiddlewaretoken']").val(),},
            // 这一种直接在这里渲染成了字符串,所以,最简单
            <!--data:{'user':user,'pwd':pwd,'csrfmiddlewaretoken':'{{ csrf_token }}'},-->
            success:function (data) {
                alert(data)
            }
        })
    })
</script>
</html>
for example

 

转载于:https://www.cnblogs.com/Neeo/p/7677958.html

ajax携带CSRF_TOKEN方式
m0_74293268的博客
06-04 474
【代码】ajax携带CSRF_TOKEN方式
Ajax 使用CSRF token与Flask /Django交互
LUV_ly_1314的博客
09-03 422
跨站请求伪造也被称为one-click attack 或者 session riding,通常缩写为CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。目前主流的防御方法就是通过Token验证,另外如果前端对存在CSRF防御的服务进行请求,会出现”400 bad request“。在写程序时有时候会让忽略CSRF问题的人莫名其妙,我就是错了好几次(我以为是我的数据格式的问题),看到了浏览器Console才恍然大悟。
CSRF原理及解决方案
weixin_44422272的博客
08-08 731
概念CSRF即Cross Site Request Forgy,跨站请求伪造。 原理 用户浏览并登陆(存在CSRF漏洞的)信任网站A 网站A验证通过,给用户返回一个cookie 用户在未登出的情况下(cookie未过期)登陆了恶意网站B 网站B带上网站A的身份(cookie)对网站A发起请求(修改你的密码,购物,转账,偷窥你的个人信息等) A并不知道请求是B发送的,会处理该恶意请求。 防御CSRF的策略 详情查看 验证 HTTP Referer 字段 在请求地址中添加 token 并验证 在 HTTP
Ajax相关 及 解决csrf_token
weixin_33829657的博客
08-08 985
一、   AJAX(Asynchronous Javascript And XML)翻译成中文就是“异步的Javascript和XML”。   即使用Javascript语言与服务器进行异步交互,传输数据。传输的数据不只是XML。 特点优势:      1.AJAX使用JavaScript技术向服务器发送异步请求     2.AJAX请求无须刷新整个页面,即可与服...
CSRF 解决方案
asxw00的博客
09-18 1377
小饥梳理了一遍公司网站所有的接口,发现很多接口都存在这个问题。于是采用了anti-csrf-token的方案。 具体方案如下: 服务端在收到路由请求时,生成一个随机数,在渲染请求页面时把随机数埋入页面(一般埋入 form 表单内,<input type="hidden" name="_csrf_token" value="xxxx">) 服务端设置setCookie,把该随机数作为cookie或者session种入用户浏览器 当用户发送 GET 或者 POST 请求时带上_csrf_t.
Django:Ajaxcsrf_token
HR_tigerking的博客
12-20 1063
起因:Ajax提示403错误 闲言碎语:据课程结束还有一周多,js杀我,要加油加油。 CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。 django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局...
关于django中的csrf_token
weixin_43700349的博客
05-01 1235
什么是csrf_token csrf_token是django的一种安全机制,增加验证,是否是通过get请求先访问页面,然后再进行的提交,否则无法直接提交 当以form表单提交时,django会自动处理csrf_token 但是当使用ajax提交时,不会像form表单那样自动处理,必须手动获取 如何避免csrf_token报错 在from表单中加入{% csrf_token %} <form action='{% url 'LOGIN' %}' method="post"> ..
django中间件生成csrf_token
fksfdh的博客
03-04 2534
class MiddlewareMixin: #django启动时就执行,与用户无关 def __init__(self, get_response=None): self.get_response = get_response super().__init__() def __call__(self, request): re...
Flask的csrf_token校验
weixin_42218868的博客
08-08 1239
在flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token的开启 1、首先在配置文件中开启CSRFProtect 2、视图中实例化forms类 3、前端使用csrf_token 4、非flask自创的form表单即前端的form表单使用csrf_t...
Flask的csrf_token的用法
Allen . Liu
09-23 2893
在flask当中,flask-wtf模块时携带csrf校验的,只是需要开启; 如果不开启校验就不需要校验,但是那样不安全。 Csrf是针对与post请求的跨域限制,get请求没有作用 csrf_token的开启 在flask中开启csrf保护 from flask_wtf.csrf import CsrfProtect CsrfProtect(app) csrf也支持惰性加载 f...
csrfToken方案
SAN_YUN的专栏
04-30 410
我们现在的csrfToken是基于cookie的,在表单页面产生一段csrfToken并且写入cookie,提交表单的时候服务器验证。 这种方案的缺点是写入cookie比较麻烦,其实不必写入cookie,页面产生加密的csrfToken:用户id+时间戳,服务器接受请求之后反解即可。 ...
csrf攻击原理与解决方法
hengliang_的博客
09-10 6011
0x01前言 因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以往我们是从攻击角度分析这种攻击的原理和操作。这次我们给出攻击原理同时,给出CSRF在服务器端的防御的解决方案。CSRF是现代WEB程序要面对的共通性问题,在很多流行的WEB框架中,都会将CSRF的问题直接在WEB框架层面解决。 我们先抛出CSRF这个问题,然后介绍基于时间与签名的防护手段,并且给出的这种防御手段的具体代码实现。过程中使用了Lua语言进行实现功能, LUA是一种容易理解的脚本语言,大
CSRF攻击的解决方案
qinheJ的博客
08-09 6675
CSRF 背景与介绍   CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。   然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail...
ajax请求设置token,Ajax请求如何设置csrf_token(示例代码)
weixin_34161139的博客
08-05 878
1. 方式一通过获取隐藏的input标签中的csrfmiddlewaretoken值,放置在data中发送。$.ajax({url: "/cookie_ajax/",type: "POST",data: {"username": "yang","password": 123,// 使用jQuery取出csrfmiddlewaretoken的值,拼接到data总"csrfmiddlewaretoke...
CSRF简单介绍与解决方法
qq_41024101的博客
01-24 1853
CSRF (Cross-site request forgery) 跨站请求伪造 知识点: 目前绝大多数网站采用的还是 session 会话任务的方式。session 机制简单的来说就是服务端使用一个键值对记录登录信息,同时在 cookie 中将 session id(即刚才说的键)存储到 cookie 中。 另外我们又知道浏览器中 HTTP(s) 请求是会自动帮我们把 cookie 带上传给服务端的。这样在每次请求的时候通过 cookie 获取 session...
CSRF介绍和解决方案
qq_47075878的博客
05-07 897
csrf的简单介绍和解决方式
CSRF 攻击的三种解决方案
热门推荐
willie_chen的专栏
08-23 1万+
验证 HTTP Referer 字段 Referer  是  HTTP  请求header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里有包含  Referer  , Referer 值会记录下用户的访问来源,有些用户认为这样会侵犯到他们自己的隐私权,特别是有些组织担心 Referer 值会把组织内网中的某些信息泄露到外网中。因此,用户自己可以设置浏览器使其在发...
CSRF漏洞三种解决方案
慕白Lee的博客
07-09 4319
三种解决方案: 一.验证HTTPReferer(拦截器方法) (相等或者包含的时候拦截) 二.在请求地址中添加token并验证 wait... 三.在HTTP头中自定义属性并验证
Spring官方提供【CSRF攻击】解决方案
qq_35040959的博客
01-16 1847
·Spring官方提供【CSRF攻击】解决方案
jquery ajax设置csrf_token
05-21
var csrfToken = $('meta[name="csrf-token"]').attr('content'); ``` 3. 在发送 AJAX 请求时,设置 `headers` 属性并携带 CSRF Token: ```javascript $.ajax({ url: 'your_url', type: 'POST', headers: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值