跨域与CSRF攻击 |
您所在的位置:网站首页 › csrf跨域 › 跨域与CSRF攻击 |
我们都在奔赴不同的人生,只希望能在赚不到大钱的日子里能赚到比钱更珍贵的东西。 跨域问题跨域问题发生在,浏览器向后端发起请求之后,后端向前端返回数据的时候。通常后端会正常返回数据,但是前端会判断此时返回数据的url和第一次访问前端项目url不一样,就会选择拒绝绝收数据,此时发生了跨域。这也是浏览器的同源策略所导致的。 跨域主要是指域名、端口、IP不一致, 浏览器的同源策略也避免了一些安全问题。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。 如果没有同源策略,比如用户电脑中了病毒,用户访问网站A的时候,再返回数据之前病毒会将访问未知网站B的命令塞进数据中,这时候网站B会带着正常用户的cookie去做一些未知的事情,导致用户的损失。 跨域的几种解决方案: 1、jsonp跨域,只能实现get请求 标签不受同源策略的影响,将网址写到url中 2、CORS(跨域资源共享) 服务器端响应头header 添加 Access-Control-Allow-Origin 3、Nginx代理跨域 server { listen 8888; #自身监听8888端口 server_name first; location / { charset utf-8; #显示中文 add_header 'Access-Control-Allow-Origin' '*'; #允许来自所有的访问地址 add_header 'Access-Control-Allow-Credentials' 'true'; #设置为true才会发送cookie add_header 'Access-Control-Allow-Methods' 'GET, PUT, POST, DELETE, OPTIONS'; #支持请求方式 add_header 'Access-Control-Allow-Headers' 'Content-Type,*'; if ($request_method = 'OPTIONS') { return 204; } proxy_pass http://127.0.0.1:8082; #匹配不到其他地址默认匹配的地址是访问 8080端口,本地node start启动的服务 } }前端项目常见解决跨域: proxyTable: { '/api': { target: 'http://127.0.0.1:1000/', // 接口的域名 changeOrigin: true, // 如果接口跨域,需要进行这个参数配置 pathRerite:{ '^/api':'/api' } } } CSRF攻击CSRF 攻击也可以理解为就是攻击者盗用了你的身份,然后以你的名义发送而已请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账,然后简单说就是你的个人隐私信息泄露以及财产安全。所以大多数浏览器进行了跨域请求限制,这是从浏览器层面上的对 CSRF 攻击的一种防御,但是需要注意的是在复杂的网络环境中借助浏览器来防御 CSRF 攻击并不足够,还需要从服务端或者客户端方面入手防御。 中间件 process_request process_view process_response process_exception process_render_template 中间件的csrf是如何实现的? django.views.decorators.csrf import csrf_exempt,csrf_protect(中间件注释掉csrf,全站不用,加该方法表明某一个函数需要认证) 在process_view方法:检查是否被 @csrf_exempt 装饰(免除csrf认证)—去请求体或者cookies中获取token FBV中可以采用直接加@csrf_exempt @csrf_protect django.utils.decorators.method_decoratorsCBV中加在对应的方法中是无效的,需要加在dispatch中,且将csrf_exempt 作为参数传入method_decorators中 方法1: class A: @method_decorators(csrf_exempt ) def dispatch(self,request,*args,**kwargs) return super(.....) 方法2: @method_decorators(csrf_exempt,name=dispatch ) class A: |
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |