CSRF 跨域

最新推荐文章于 2025-02-28 10:49:13 发布
最新推荐文章于 2025-02-28 10:49:13 发布
阅读量607 收藏 1
点赞数
分类专栏: 知识点 文章标签: csrf 前端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ywn0601/article/details/122452567
版权
当前端页面与服务器地址在协议、域名或端口上不一致时,会产生跨域请求,表现为无法获取数据并报错。为解决这个问题,需要在服务器端Response Header中设置`Access-Control-Allow-Origin`,在SpringCloud等环境中,通常在网关进行统一配置。对于非简单请求,浏览器会先发送OPTIONS预检请求,服务端需对此做出相应,允许所需的方法和头部。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是跨域请求

当前端使用ajax获取数据的时候,如果当前页面的地址和所需要请求的服务器的地址 :

协议 域名 端口

任何一个不一样的时候就会产生跨域请求

跨域请求的表现

获取不到数据信息并且前端报跨域错误提示

跨域请求获取不到数据的原因

后端服务器接口数据以返回,但是浏览器不将数据返回给ajax中的success

如何处理跨域请求

在服务器端的Response Header中添加
Access-Control-Allow-Origin 的信息
例如在SpringCloud中项目中会把跨域配置全都配置在网关中,由网关统一管理

跨区请求和OPTIONS请求的关系

跨域请分为:

简单请求:
get post
非简单请求:
put delete 自定义的header信息

按上面"如何处理跨域请求" 中写的方法解决后,访问接口还是会出现
在这里插入图片描述
以上的options请求

因为所有非简单请求 在正式跨域的请求前,浏览器会根据需要,发起一个“PreFlight”(也就是Option请求),用来让服务端返回允许的方法(如get、post),被跨域访问的Origin(来源,或者域),还有是否需要Credentials(认证信息)
在这里插入图片描述

从这张图中我们可以看出,非简单请求在发送真正的请求前会发送一次Preflight Request,接收一个Preflight Response。(这也是Preflight恶心的地方)。

所以就需要服务器对options请求放行

比如在SpringCloud中项目中网关的跨域请求中添加
Access-Control-Allow-Headers

Access-Control-Allow-Methods

放行规则

Spring Security CSRF请求伪造的防护
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 183
随着Web应用程序的普及和发展,网络攻击成为了一个严重的问题。其中,CSRF(Cross-Site Request Forgery)攻击是一种非常常见的攻击方式。攻击者可以利用这种漏洞欺骗用户执行恶意操作,如恶意转账、修改用户信息等。为了提高应用程序的安全性,我们必须采取措施保护Web应用程序,其中之一就是CSRF保护机制。本文将介绍Spring Security中的CSRF保护机制,并提供一些示例和实践建议,以帮助开发人员实现更安全的Web应用程序。
深入解析CSRF 攻击:原理、危害及解决方案
qq_39895671的博客
02-14 720
是指在浏览器中,当一个网页尝试从与其所在名不同的名请求资源时,浏览器出于安全考虑会阻止这种行为。协议:http:// 和 https://名:example.com 和 api.example.com端口:example.com:8080 和 example.com:3000由于两者名不同,因此被视为。1.2 问题的由来限制是浏览器的一种安全机制,称为 同源策略 (Same-Origin Policy),目的是防止恶意网站通过脚本访问其他网站的敏感数据。
关于csrf 的那些事
dengdongxia的博客
09-03 2028
前言   在这段时间,部门前辈分享了不少干货。我学到了不少内容,并对其进行简单整理,以便更好地转化为自己的知识。 知识探讨部分 关于 产生 协议,名,端口三者其中存在不同都会形成;故,当协议,端口,名三者均相同时,浏览器就会认为是同源,允许加载该资源,否则为不同源。 存在原因:浏览器的同源限制策略 请求:客户端(www.a.com) -》 服务端(www.baidu.com)...
CSRF攻击及预防
song_myth的博客
08-11 839
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状   C
Spring Security 如何防止 CSRF 攻击?
最新发布
C_V_Better的博客
02-28 1198
CSRF(Cross-Site Request Forgery)攻击,即站请求伪造攻击,是一种利用用户已登录的身份,在用户不知情的情况下,强制其执行非预期操作的攻击方式。攻击者通常会通过伪造的请求,诱使用户在已登录的应用程序中执行恶意操作,例如转账、修改个人信息等。开启或关闭 CSRF 保护:可以通过配置来开启或关闭 CSRF 保护。例如,在基于 Java 配置的项目中,可以通过以下代码关闭 CSRF 保护:http.csrf().disable();自定义 CSRF 令牌存储方式。
CSRF站请求伪造)的理解
移动端开发干货分享
04-15 671
原文:https://my.oschina.net/jasonultimate/blog/212554 下班的时候跟公司大神一起走,问了他几个问题,接着就给我讲了XSS攻击和CSRF攻击,他通过举例子的方式讲解,通俗易懂,感觉收获很大!又学到了一些新知识,心里特别高兴,为了防止我这个脑子很快就忘掉,所以趁着热乎,写下来,方便以后回顾一下~ 一、什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是站请求伪造。那么什么是站请求伪造呢?让我一个词一个词的.
关于csrf 的那些小事
m0_59598029的博客
02-02 500
在这段时间,部门前辈分享了不少干货。我学到了不少内容,并对其进行简单整理,以便更好地转化为自己的知识。
浅谈CSRF攻击
DevOps
05-15 1735
CSRF(Cross Site Request Forgery) 站请求伪造。在用户不知情的情况下以用户的名义向有CSRF漏洞的网站发起攻击,有很大的危害性。 预防:在header中添加一个随机token,和cookie中的csrftoken进行比较,如果不相同,则表示该请求是CSRF攻击。 原理:网站可以伪造header中的东西,但不能读cookie中的数据,而token是个随机数,所以伪...
Java应用中,如何处理SAP OData服务的401和403授权问题,并确保CSRF请求的安全以及正确解析XML数据?
11-08
要解决Java中调用SAP OData服务时遇到的授权问题、CSRF问题以及XML数据解析,首先需要确保你的应用能够进行有效授权。处理401错误通常需要在HTTP请求头中设置正确的`Authorization`字段。可以使用Base64编码对...
CSRF请求伪造)理解的很通透
weixin_46865273的博客
05-04 1285
声明:本篇文章来自:https://my.oschina.net/jasonultimate/blog/212554 一、什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是站请求伪造。那么什么是站请求伪造呢?让我一个词一个词的解释: 1、站:顾名思义,就是从一个网站到另一个网站。 2、请求:即HTTP请求。 3、伪造:在这里可以理解为仿造、伪装。 综合起来的意思就是:从一个网站A中发起一个到网站B的请求,而这个请求是经过了伪装的,伪装操作达到的目的就是
CSRF 站请求伪造(非常详细)零基础入门到精通,收藏这篇就够了
wly55690的博客
12-06 933
之前面试经常被问到 CSRF站请求伪造大概流程比较简单, 大概就是用户登录了A页面,存下来登录凭证(cookie), 攻击者有诱导受害者打开了B页面, B页面中正好像A发送了一个请求,并把cookie进行了携带, 欺骗浏览器以为是用户的行为,进而达到执行危险行为的目的,完成攻击上面就是面试时,我们通常的回答, 但是到底是不是真是这样呢?难道这么容易伪造吗?于是我就打算试一下能不能实现。
Web高级知识-&XSS;&CSRF;解决方案
11-26
http长连接与短连接 HTTP协议与TCP/IP协议的关系 HTTP的长连接和短连接本质上是TCP长连接和短连接。HTTP属于应用层协议,在传输层使用TCP协议,在网络层使用IP协议。IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,使在网络上的另一端收到发端发出的所有包,并且顺序与发出顺序一致。TCP有可靠,面向连接的特点。 如何理解HTTP协议是无状态的 HTTP协议是无状态的,指的是协议对于事务处理没有记忆能力,服务器不知道客户端是什么状态。也就是说,打开一个服务器上的网页和你之前打开这个服务器上的网页之间没有任何联系。HTTP是一个无状态的面向连接的协议,无状态不代表HTTP不能保持TCP连接,更不能代表HTTP使用的是UDP协议(无连接)。 实战解决方案 原因产生:在当前名请求网站中,默认不允许通过ajax请求发送其他名。
什么是?什么是CSRF?
weixin_33758863的博客
04-02 223
(参考链接:https://www.jianshu.com/p/f880878c1398) 什么是?   在 HTML 中,<a>, <form>, <img>, <script>, <iframe>, <link> 等标签以及 Ajax 都可以指向一个资源地址,而所谓的请求就是指:当前发起请求的与该请求指向的资...
安全开发之CSRF(请求伪造)
XZ85201的博客
05-20 1397
概念:CSRF(Cross Site Request Forgery)请求伪造,顾名思义,是在的基础上利用伪造请求而达成的一种攻击手段。
java csrf _CSRF-访问保护
weixin_42390873的博客
02-23 212
CSRF访问保护当我们打开此功能时,在提交时就会报错,此时解决方法有1.浏览器支持cookie2.有render方法3.在提交的表单中加入{% csrf_token%},为了生成随机值。现在我们就以第三种为例,就可以解决此类问题了1 {% extends "index.html" %}23 {% block extra-head-resources %}45 6 {% endbloc...
csrf攻击
dremcl的博客
03-11 148
csrf攻击原理 请求响应: 从正规网站上注册信息等等,网站会给用户返回一个csrf_token,当用户注册的信息发送时,会带着csrf_token一起返回,若返回的csrf_token一致,则成功,若不一致,则没有响应。钓鱼网站不会csrf_token! 实例 1 首先在model中定义一个表结构 ...
CSRF简述-解决方案CORS
Static_HackSun的博客
05-05 622
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚...
【web】CSRF站()请求伪造攻击方式
m0_45406092的博客
02-25 723
文章目录1. CSRF是什么?2. CSRF可以做什么?3. CSRF的原理3.1 举例描述原理3.1.1 示例1:3.1.2 示例2:3.1.3 示例3:4. CSRF的防御4.1 服务端进行CSRF防御4.1.1 token4.1.1.1 Cookie Hashing(所有表单都包含同一个伪随机值):4.1.1.2 验证码4.1.1.3 One-Time Tokens(不同的表单包含一个不同的伪随机值)4.1.2 验证 HTTP Referer 字段4.1.3 在 HTTP 头中自定义属性并验证 1.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值