通过跨域提交表单的非法访问

最新推荐文章于 2025-05-07 10:47:30 发布
原创 最新推荐文章于 2025-05-07 10:47:30 发布 · 152 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javascript #数据库 #ViewUI

本文探讨了前端数据提交时的安全问题,特别是在使用JavaScript进行客户端验证时可能遇到的风险。文章提供了一种绕过验证的方法,并讨论了几种增强服务器端验证的策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通常,当我们通过post方法提交数据到服务器的时候,通常会做一些验证,防止非法的数据存入数据库。通常是用javascript写的。

比如 下面的一个例子:

    

  1. <script language="javascript">  
  2.         $(function () {  
  3.             $("#btn").click(function () {  
  4. if ($("#txt").val() == "") {  
  5.                     alert("不能为空"); return;  
  6.                 }  
  7.                 $.ajax({  
  8.                     type: 'POST',  
  9.                     url: "/Handler1.ashx",  
  10.                     data: { name: $("#txt").val() },  
  11.                     success: function (data) {  
  12.                         alert(data);  
  13.                     },  
  14.                     dataType: "html",  
  15.                     error: function (XMLHttpRequest, textStatus, errorThrown) {  
  16.                         alert(XMLHttpRequest.statusText);  
  17.                     }  
  18.                 });  
  19.             });  
  20.         });  
  21.     </script>  


这里做了一个验证,如果$("#txt")的值是空的就不提交,否则就提交到Handler1.ashx。


此处有一种***方式。


把页面保存到本地,然后把相对路径都改为绝对路径,把js验证的代码去掉。此时,再按提交按钮,绕过验证,直接提交到服务器了 。这样会对数据的安全性有危害。


有很多做法避免这种问题的发生,常用的方法是读取context.Request.ServerVariables["HTTP_REFERER"]的值,看看是不是为 context.Request.ServerVariables[" http_host "] 的值。如果是的话说明在同一个域内。就不存在是从本地修改的页面代码中提交过来的。但是此种方法防护能力较弱。HTTP_REFERER的值可以伪造。更加严格的做法是采取验证票,或者判断session值等方式。

                

        




    

    
  


            

                    
            


    



                



	

		

			

				
					
AJAX访问被禁止的原因

				
			

			

				

					
				

				

					11-20
					
					1万+
					
				

			

		

		

			
				
为什么AJAX访问不能呢?要讲清楚这个问题,首先要谈谈Cookie

 


1.客户向A网站的服务器发送登录请求,并携带账号密码数据

2.A网站的服务器校验账号密码正确后,返回响应并给本地添加了Cookie

3.之后客户再次向A网站发起请求会自动带上A网站存储在本地的cookie

4.A网站的服务器从cookie中获取账号密码数据后,返回登陆成功界面。


下图为cookie的工作机制...

			
		

	



                

            
              



	

		

			

				
					
同源政策/解决策略/web安全攻击CSRF以及XSS

				
			

			

				

					darabiuz的博客
				

				

					02-11
					
					3365
					
				

			

		

		

			
				
1.同源策略
1. 什么是同源
同源策略是浏览器安全的基石,当前网页的url和ajax请求地址的url必须同源,它要求协议、名、端口号三者必须相同,只要有一处不同就属于
2. 为什么要有同源策略
想象这样一个场景,你登录并信任了一个购物网站A,然后在没有退出的情况下登陆了恶意网站B,由于浏览器携带了cookie信息,那么B就可以冒充用户向A网站发送请求,比如购买物品之类的违背用户预期的恶意行为,带来严重影响,这其实也就是平时所说的CSRF攻击(具体见下文对于CSRF的介绍),由来同源策略以后,主要限制

			
		

	



              


  
              

                


	

		

			

				
					
请求不被允许

				
			

			

				

					xiaoyi52的专栏
				

				

					09-15
					
					2209
					
				

			

		

		

			
				
public class CorsFilter implements Filter {@Override
public void init(FilterConfig filterConfig) throws ServletException {}@Override
public void doFilter(ServletRequest servletRequest, ServletResponse

			
		

	





	

		

			

				
					
请求问题与站请求伪造

				
			

			

				

					weixin_44166997的博客
				

				

					07-04
					
					2493
					
				

			

		

		

			
				
文章目录1·请求问题解决方法2·站请求伪造解决方法一方法二
1·请求问题
在使用django-rest-framework开发项目的时候我们总是避免不了的问题,因为现在大多数的项目都是前后端分离,前后端项目部署在不同的web服务器上,因为我们是后端程序员,因此我要通过后端的程序实现。
解决方法
DRF后端实现我们使用一个第三方扩展——— django-cors-headers...

			
		

	



		

			
		



	

		

			

				
					
防止  本地 提交 表单  

				
			

			

				

					理想充实生活,理想创造价值。
				

				

					06-20
					
					444
					
				

			

		

		

			
				
v1=Cstr(Request.ServerVariables("HTTP_REFERER"))v2=Cstr(Request.ServerVariables("SERVER_NAME"))if mid(v1,8,len(v2))response.write ""response.write "" response.write "你提交的路径有误,禁止从站点外部提交数据"r

			
		

	





	

		

			

				
					
请求中的问题,及解决方法

				
			

			

				

					南同学
				

				

					02-23
					
					1188
					
				

			

		

		

			
				
(一):为什么会出现的问题
在浏览器中有一个同源策略, 也是浏览器的安全策略, 保障资源间的安全访问,我们访问地址的URL: 协议://名:端口/资源路径?查询字符串#hash,也就是只有当协议,名,端口完全一致的时候 才能访问,只要有一个不同,就会出现;
解决的方法:

CORS:
原理: 通过新版XMLHttpRequest(ajax20.)的特性
实现方式:
在服务器端设...

			
		

	





	

		

			

				
					
jsp防止提交数据的具体实现.docx

				
			

			

				

					01-20
				

			

		

		

			
				
 - 如果允许提交数据,恶意用户可以通过构造特定的HTTP请求来执行非法操作,例如表单伪造攻击(CSRF)等。  - 攻击可能导致数据泄露或被篡改,甚至可能导致整个系统的安全性受损。  #### JSP中的防护...

			
		

	





	

		

			

				
					
XSS攻击讲义

				
			

			

				

					08-19
				

			

		

		

			
				
### XSS攻击知识点详解  #### 一、XSS攻击概览  - **定义与起源**:站脚本(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,最早出现于1996年。XSS攻击利用的是网站对用户输入数据过滤不严...

			
		

	





	

		

			

				
					
jsonp请求数据实现手机号码查询实例分析

				
			

			

				

					10-23
				

			

		

		

			
				
JSONP(JSON with Padding)是一种在Web应用中实现...最终,文章通过具体实例,详细讲解了如何通过JSONP技术实现请求数据,并且提供了手机号码查询的应用技巧,帮助开发者在实际开发中解决数据访问的问题。

			
		

	





	

		

			

				
					
请求是什么?有什么问题?怎么解决?

				
			

			

				

					lcb1424556301的博客
				

				

					02-15
					
					734
					
				

			

		

		

			
				
是指浏览器在发起请求时,会检查该请求所对应的协议,名,端口和当前网页是否一致,如果不一致,则浏览器会进行限制,比如在百度的某个网页中,如果使用ajax去访问京东是不行的,但是如果是img,iframe,script等标签的src属性去访问则是可以的,之所以浏览器要做这层限制,是为了用户信息安全,但是如果开发者要想绕过这层限制也是可以的。
1.response添加header,比如resp.setHeader(“Access-Control-Allow-Origin”,“*”);表示可以访问所有网站,不

			
		

	





	

		

			

				
					
请求的解决方式

				
			

			

				

					baichaji的博客
				

				

					03-05
					
					381
					
				

			

		

		

			
				
1、服务器对于src的请求不会阻止。2、script标签src导入的外部文件,内容/输出 都会按照JavaScript语法程序执行。

			
		

	





	

		

			

				
					
如何解决请求

				
			

			

				

					Angel__wings的博客
				

				

					08-05
					
					1769
					
				

			

		

		

			
				
说起请求,必须要了解浏览器的同源策略,同源策略/SOP(Same origin policy)是一种约定,由 Netscape 公司 1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到 XSS、CSFR 等攻击。所谓同源是指"协议+名+端口"三者相同,即便两个不同的名指向同一个 ip 地址,也非同源。解决请求的常用方法是:通过代理来避免,比如使用 Nginx 在后端转发请求,避免了前端出现的问题。通过 Jsonp 其它解决方案。...

			
		

	





	

		

			

				
					
什么是,如何解决问题

					
最新发布

				
			

			

				

					weixin_55862073的博客
				

				

					05-07
					
					3390
					
				

			

		

		

			
				
问题产生的根本原因是浏览器的同源策略(Same-Origin Policy)。同源策略是浏览器实现的一种安全协议,它限制了一个源的文档或脚本如何与另一个源的资源进行交互。如果没有同源策略,恶意网页可能会读取另一个网页的敏感信息,如用户输入的密码、银行账号等,从而进行非法操作。

			
		

	





	

		

			

				
					
浏览器拦截请求处理方法&前端解决问题的8种方案

					
热门推荐

				
			

			

				

					renjie123321的博客
				

				

					11-02
					
					1万+
					
				

			

		

		

			
				
原文地址:https://www.cnblogs.com/PheonixHkbxoic/p/5760838.html
浏览器拦截请求处理方法(已阻止源请求:同源策略禁止读取远程资源)
在浏览器请求中,出现访问资源的问题,我们肯定会遇到。如果请求被阻止,有可能导致css、js 、ajax请求、font字体等资源出现无法正常访问的问题。接下来,就介绍下解决同源策略不允许读取远程资源的问题。
今天就谈下远程字体的问题。
直接了当了说,解决此类问题,最直接的方法就是,就是给被请求的服务器,添加HT

			
		

	





	

		

			

				
					
前端系列之:

				
			

			

				

					程序员SKY的博客
				

				

					02-12
					
					624
					
				

			

		

		

			
				
前端系列之:

			
		

	





	

		

			

				
					
什么是,为什么浏览器会禁止,及其引起的发散性学习

				
			

			

				

					qq_35271556的博客
				

				

					05-16
					
					1万+
					
				

			

		

		

			
				
浏览器的问题以及解决方案 
浅谈CSRF攻击方式 
参考了上面的大神们的文章,以下是自己的总结。

1、什么是

的产生来源于现代浏览器所通用的‘同源策略’,所谓同源策略,是指只有在地址的: 
1. 协议名 
2. 名 
3. 端口名 
均一样的情况下,才允许访问相同的cookie、localStorage或是发送Ajax请求等等。若在不同源的情况下访问,就称为。

2、为什么浏...

			
		

	





	

		

			

				
					
问题解决

				
			

			

				

					qq_49949568的博客
				

				

					06-16
					
					1220
					
				

			

		

		

			
				

			
		

	





	

		

			

				
					
3种方案彻底解决异常

				
			

			

				

					m0_53951384的博客
				

				

					09-05
					
					285
					
				

			

		

		

			
				
CORS是一个W3C标准,全称是"资源共享”(Cross-origin resource sharing)。它允许浏览器向源(协议 + 名 + 端口任一不同)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。CORS需要浏览器和服务器同时支持。它的通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX/Fetch通信没有差别,代码完全一样。

			
		

	





	

		

			

				
					
Google表单垃圾邮件填充工具的使用与法律声明

				
			

			

				

					
				

			

		

		

			
				
- "此网络应用将垃圾邮件数据填充到Google表单中" 指出了程序的具体行为,即将信息自动输入到Google表单中,可能涉及模拟用户输入或通过API接口自动化数据提交。 - "它仅适用于不需要您登录的Google表单" 意味着该...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值