网络安全杂谈- CORS/CSRF/XSS

最新推荐文章于 2025-03-24 19:09:23 发布
最新推荐文章于 2025-03-24 19:09:23 发布
阅读量1.8k 收藏 29
点赞数 32
文章标签: web安全 csrf xss 网络安全 安全 黑客 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wuli1024/article/details/135449835
版权
本文介绍了CORS如何解决浏览器的跨域限制,包括原理、安全问题及其解决方案。同时,详细解释了XSS攻击的类型和防范措施,以及CSRF的概念和防御策略。还讨论了网络安全人才短缺与就业前景,以及学习网络安全的相关资源和路径。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、️ CORS

1.1 为什么会跨域

出于浏览器的同源策略限制,浏览器会拒绝跨域请求。

同源: 域名、端口、协议都相同,称为同源。

例如以下地址都不同源:

www.domain.com

www.domian.com // 协议不同

www.domain.com:30001 // 端口不同

一般情况下,浏览器碰到请求是这么玩儿的:

  1. client发送请求,请求头加上origin字段表示发送请求的源。
  2. server端响应请求,浏览器接到响应报文,一看,当前页面origin和server origin不同源,拒绝该请求

简单请求直接发送GET/POST请求,非简单请求发送OPTIONS请求检查请求头。

所以我们会发现,在前后端分离的项目中,我们的服务一般是布在不同的服务器上,或是同一台服务器的不同端口,这个时候我们去调用接口,就会出现跨域问题。

当然,script标签,img、video等等都不受同源策略限制,否则你的网站上都没有办法加载其他地方的图片了。

1.2 CORS解决跨域原理

了解了跨域产生的原因,我们可以想到,可不可以和浏览器约定,对于在返回的请求报文里添加一些信息,告诉她某些地址可以绕过同源策略。

CORS跨域就是这个原理,你可以在服务器端添加一个Access-Control-Allow-Origin表示可以接受的跨域请求源。

假设你的client起在 domaina.com:3000,server起在domian2.com:8080,在server端设置了响应报文头为Access-Control-Allow-Origin:domaina.com

  1. Client 发送请求到server端
  2. server端给响应报文添加Access-Control-Allow-Origin:domaina.com
  3. client浏览器收到响应报文,看到有Access-Control-Allow-Origin字段,从当前client地址domaina.com:3000去匹配,发现当前地址是被允许跨域的,于是返回响应。<
最低0.47元/天 解锁文章
【面试系列】JavaScript 高频面试题
在路上的专栏
06-26 1015
在求职 JavaScript 开发岗位时,全面掌握基础知识、函数和作用域、面向对象编程、异步编程、DOM 操作与事件处理、ES6+ 新特性、工具与环境、高级概念、安全实践和设计模式至关重要。本文详细解答了 JavaScript 初级、中级和高级面试题,涵盖原型继承、闭包、事件循环、模块化、Promise、async/await、高阶函数和柯里化等关键技术点。此外,本文还介绍了调试与测试工具、构建工具、性能优化技巧和常见的设计模式。
【面试系列】前端开发工程师高频面试题及详细解答
在路上的专栏
06-28 1750
本文为前端开发工程师岗位准备了详细的面试问题及解答,分为初级、中级和高级三个层次。初级问题涉及HTML、CSS、JavaScript基础知识及基本前端工具的使用;中级问题聚焦于前端框架(如React、Angular、Vue)、响应式设计和浏览器兼容性问题;高级问题涵盖性能优化、复杂组件开发及前端架构设计等高深内容。通过这些面试题,候选人可以有效提升应试准备,掌握开发用户界面及确保跨设备和浏览器一致性的核心技能,熟悉常考知识点,为成功应聘做好充分准备。
CORSCSRF--学习笔记
weixin_45951911的博客
12-04 4081
一、CORSCSRF 区别 两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍: CORS : Cross Origin Resourse-Sharing 跨站资源共享 CSRF : Cross-Site Request Forgery 跨站请求伪造 XSS : Cross Site Scrit 跨站脚本攻击(为与 CSS 区别,所以在安全领域叫 XSS) 二、CORS 1、概念 跨来源资源共享(CORS),亦译为跨域资源共享,是一份浏览器技术的规范,提供了 Web
CORSCSRF
fitzleopard的博客
06-16 3196
本文首发于我的Github博客 本篇文章介绍了CORSCSRF的概念(作者前几天在和带佬们聊天的时候把两个概念搞混了,所以才想要了解),简单来说: CORS(Cross Origin Resource Sharing)跨域资源分享 是一种机制,通过在HTTP响应头中加入特定字段限制不同域的资源请求 CSRF(Cross Site Request Forgery)跨站请求伪造 是一种web攻击手段,通过向服务器发送伪造请求,进行恶意行为的攻击手段 CORS(Cross Origin Resource
攻防演练:Spring Boot 中的 CORSCSRF,别让你的应用裸奔!
最新发布
Innocence_0的博客
03-24 609
CORS:浏览器端的安全策略,用于限制跨域请求。配置灵活,可以全局配置,也可以针对特定接口配置。CSRF:防止跨站请求伪造的安全机制,Spring Security 默认开启。对于无状态 API,可以考虑禁用。记住,网络安全无小事,CORSCSRF 都是保护你的 Spring Boot 应用的重要防线。搞懂它们,用好它们,才能让你的应用在互联网的“枪林弹雨”中屹立不倒!
CORSCSRF
myli92的博客
05-12 610
一、CORSCSRF 区别 CORS(Cross Origin Resource Sharing)跨域资源分享 CORS是一种机制,通过在HTTP响应头中加入特定字段限制不同域的资源请求CSRF(Cross Site Request Forgery)跨站请求伪造 CSRF(Cross Site Request Forgery)跨站请求伪造 CSRF 是一种web攻击手段,通过向服务器发送伪造请求,进行恶意行为的攻击手段 XSS : ...
web前后端漏洞分析与防御(二)-CSRF
空默寒的博客-学习和积累
07-29 537
跨站请求伪造攻击CSRF(Cross Site Request Forgy) SRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:        攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统...
csrfcors有啥关系
m0_57236802的博客
12-02 611
CSRF(Cross-Site Request Forgery)和 CORS(Cross-Origin Resource Sharing)虽然听起来类似,但实际上它们处理的是两个完全不同的安全问题。定义:防御机制:定义:使用场景:实现方式:关系:区别:简而言之,CSRF 关注的是防止恶意网站利用用户的登录状态执行不安全的操作,而 CORS 关注的是允许安全、受控的跨源资源访问。
CSRFCORS
qq_29454347的博客
08-14 458
CSRF定义 https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF) 主要原因:不合法的CORS请求的结果虽然会被浏览器阻止,但是整个http请求是完成的(且请求带有域的cookie) 举例,一个URL是银行转账操作,参数是金额和需要转账的户头。把这个url放在黑客网站的<img src="">中,虽然黑...
XSSCSRFCORS简介
weixin_68531269的博客
10-26 1157
如果两个 URL 的 协议、端口 (如果有指定的话) 和 主机都相同的话,则这两个 URL 是同源。这个方案也被称为“协议/主机/端口元组”,或者直接是“元组”。(“元组”是指一组项目构成的整体,双重/三重/四重/五重/等的通用形式)。
什么是csrfcors?有啥区别?
m0_73302761的博客
07-21 1202
本文参考 原文链接:https://blog.youkuaiyun.com/weixin_47450807/article/details/123227342跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CORS(Cross-Origin Resource Sharing, 跨源资源共享)当一个请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。因此,要想实现CORS进行跨域需要服务器进行一些设置,同时前端也需要做一些配置和分析。
XSSCSRF/XSRF、CORS介绍
LC的博客
03-24 1425
XSSCSRF/XSRF、CORS介绍1 XSS1.1 名词解释1.2 作用原理1.3 防范措施2 CSRF/XSRF2.1 名词解释2.2 作用原理2.3 防范措施2.3.1 验证码2.3.2 Referer Check2.3.3 添加 token 验证(token==令牌)3 CORS3.1 名词解释 1 XSS 1.1 名词解释 XSS,即:Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和网站前端技术领域——层叠样式表(Cascading Style Sheet
CSRF XSS(XSRF) CORS OPTIONS(HTTP)概念理解
CCyutaotao的博客
10-26 2572
XSSXSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。我们不需要用户输入 HTML 而只想让他们输入纯文本,那么把所有用户输入进行 HTML 转义输出是个不错的做法。似乎很
CORS(跨域源资源共享)&&CSRF(Cross-site request forgery)跨站请求伪造简介
qq_37432174的博客
08-09 678
我们知道协议、域名、端口其中有一项不同,与路径不同无关,则为不同源,不同源的URL发送请求则为跨域请求。在浏览器中跨域采用同源策略。同源策略不仅是前端的问题。 传统的方法是通过jsonp,或者JS的JSONP 虽然能解决跨域但是有一个很大的局限性,那就是只支持 GET 请求,不支持其他类型的请求。 这里我们在SpringBoot中使用CORS来解决同源策略 CORS(跨域源资源共享)(CORS,C...
web 跨域问题(SOP/CORS/CSRF
zdplife的专栏
02-18 2721
同源策略 - same origin policy(SOP) 概念:两个网页同源是指这两个网页的协议,域名,端口全部相同 举例来说,http://www.example.com/dir/page.html这个网址,协议是http,域名是www.example.com,端口是80,它的同源情况如下: http://www.example.com/dir2/other.html 同源 ht...
Django CORS支持工具 django-cors-headers 3.0.2发布
- django-cors-headers的使用也需要遵循网站安全策略,应定期更新以修复可能存在的安全漏洞。 - 对于大型项目,可能需要更加复杂的CORS配置,比如使用中间件来处理特定的路由或视图,django-cors-headers提供了足够...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值