[WEB]跨域問題CORS及跨域攻擊CSRF

原創 Pinckney_Emiya 2020-05-23 11:05

之前有遇到類似跨域問題,對此作小結。主要內容包括,跨域的基礎知識和跨域攻擊

跨域 定義:跨域HTTP請求(Cross-site HTTP request),顧名思義指發起請求的資源所在域不同於該請求所指向資源所在的域的 HTTP 請求。

同域 定義:如果兩個頁面的協議,端口(如果有指定)和域名都相同,則兩個頁面具有相同的源(域)

跨域原因 域1 域2
不同端口 whu.edu.cn:80 whu.edu.cn:8080
不同域名 drkt.whu.edu.cn zsb.whu.edu.cn
不同協議 https://whu.edu.cn http://whu.edu.cn

 

起源:同源策略|SOP(Same origin policy)由Netscape公司1995年提出,它是瀏覽器最核心也最基本的安全策略。

同源策略限制:

  • DOM對象
  • JS對象
  • Cookie,LocalStorage
  • XmlHttpRequest請求(Ajax請求)

用途:用於防止 跨站請求造攻擊|CSRF(Cross-site request forgery)

 

A cookie associated with a cross-site resource at http://hm.baidu.com/ was set without the `SameSite` attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with `SameSite=None` and `Secure`. You can review cookies in developer tools under Application>Storage>Cookies and see more details at https://www.chromestatus.com/feature/5088147346030592 and https://www.chromestatus.com/feature/5633521622188032.

上述是一個跨域請求Cookie的例子,是baidu統計代碼在谷歌遊覽器中的問題。

在開發實際遇到的問題是,用戶通過僞造請求,提交小遊戲成績。

解決方案:

使用Django時,在setting中刪除django.middleware.csrf.CsrfViewMiddleware

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

高效率Python開發工具PyCharm v2024.1——更新AI Assistant功能

JetBrains PyCharm是一種Python IDE,其帶有一整套可以幫助用戶在使用Python語言開發時提高其效率的工具。此外,該IDE提供了一些高級功能,以用於Django框架下的專業Web開發。 立即獲取PyCharm v20

原創 2024-04-23 11:34:45

瀏覽器輸入地址訪問網頁過程

瀏覽器輸入地址 當在瀏覽器中輸入網址的時候,瀏覽器其實就可能的匹配可能得 url 了,它會從歷史記錄,書籤等地方,找到已經輸入的字符串可能對應的 url,然後給出智能提示,讓你可以補全url地址。對於 google的chrome 的瀏覽

原創 2024-04-16 11:34:39

日程安排組件DHTMLX Scheduler v7.0新版亮點 - 擁有多種全新的主題

DHTMLX Scheduler是一個類似於Google日曆的JavaScript日程安排控件,日曆事件通過Ajax動態加載,支持通過拖放功能調整事件日期和時間,事件可以按天、周、月三個種視圖顯示。 備受關注的DHTMLX Schedule

原創 2024-04-11 11:34:05

ES6生成器,看似同步的異步流程控制表達風格

本文分享自華爲雲社區《3月閱讀周·你不知道的JavaScript | ES6生成器,看似同步的異步流程控制表達風格》,作者: 葉一一。 生成器 打破完整運行 JavaScript開發者在代碼中幾乎普遍依賴的一個假定:一個函數一旦開始執行

原創 2024-04-10 22:32:56

「實戰應用」如何用圖表控件LightningChart創建JS堆疊條形圖?

LightningChartJS是Web上性能特高的圖表庫,具有出色的執行性能 - 使用高數據速率同時監控數十個數據源。 GPU加速和WebGL渲染確保您的設備的圖形處理器得到有效利用,從而實現高刷新率和流暢的動畫,常用於貿易,工程,航空航

原創 2024-04-10 11:34:32

界面控件DevExtreme JS & ASP.NET Core 2024年度產品規劃預覽(一)

在本文中我們將介紹今年即將發佈的v24.1附帶的主要特性,這些特性既適用於DevExtreme JavaScript (Angular、React、Vue、jQuery),也適用於基於DevExtreme的ASP.NET MVC/Core控

原創 2024-04-03 11:34:37

日期時間位置索引

日期時間字符串的切分是工作中常用的操作,下圖所示兩種索引方式: 第一種:包含上限 第二種:不包含上限 其中第二種方式更爲常用,如 python 語言的切片方法 s[0:4] => 2024; javascript 語言的 substring

原創 2024-03-30 01:32:26

canvas和context的關係 畫布和畫筆的關係

在HTML5中,Canvas是一個圖形繪製區域,它是一個HTML標籤,用於在網頁上動態渲染2D和3D圖形。而Context是Canvas的上下文,它是用於在Canvas上進行繪圖的接口。具體來說,有2D Context和3D Context

原創 2024-03-29 21:24:02

「DevExpress中文教程」如何將DevExtreme JS HTML編輯器集成到WinForms應用

在本文中我們將演示一個混合實現:如何將web UI工具集成到WinForms桌面應用程序中。具體來說,我們將把DevExtreme JavaScript WYSIWYG HTML編輯器(作爲DevExtreme UI組件套件的一部分發布的組

原創 2024-03-28 12:34:43

讓 AI 幫你寫代碼,開發提效神器來了

如今,大量程序員已經習慣在 AI 輔助下進行編程。據調研,AI 編碼工具將程序員工作效率提升 50% 以上。 通義靈碼是目前國內最受開發者喜愛的 AI 編碼助手,可以提供行級/函數級實時續寫、自然語言生成代碼、單元測試生成、代碼優化、註釋生

原創 2024-03-27 21:14:11

無人不識又無人不迷糊的this

本文分享自華爲雲社區《3月閱讀周·你不知道的JavaScript | 無人不識又無人不迷糊的this》,作者: 葉一一。 關於this this關鍵字是JavaScript中最複雜的機制之一。它是一個很特別的關鍵字,被自動定義在所有函數的

原創 2024-03-26 11:34:42

(小實驗)理解編譯原理:一個四則運算的解釋器

在前面的課程中,我在 JavaScript 和 CSS 的部分,多次提到了編譯原理相關的知識。這一部分的知識,如果我們從編譯原理“龍書”等正規的資料中學習,就會耗費掉不少的時間,所以我在這裏設計了一個小實驗,幫助你快速理解編譯原理相關的知識

原創 2024-03-25 10:20:45

O2OA(翱途)開發平臺前端安全配置建議(一)

O2OA開發平臺是一個集成了多種功能的開發環境,前端安全在其中顯得尤爲重要。前端是用戶與平臺交互的直接界面,任何安全漏洞都可能被惡意用戶利用,導致用戶數據泄露、非法操作或系統被攻擊。因此,前端安全是確保整個系統安全的第一道防線。 其次,隨着

原創 2024-03-21 22:47:41

實用工具推薦:適用於 TypeScript 網絡爬取的常用爬蟲框架與庫

  隨着互聯網的迅猛發展,網絡爬蟲在信息收集、數據分析等領域扮演着重要角色。而在當前的技術環境下,使用TypeScript編寫網絡爬蟲程序成爲越來越流行的選擇。TypeScript作爲JavaScript的超集,通過類型檢查和麪向對象的特性

原創 2024-03-21 00:24:03

如何使用 JavaScript 導入和導出 Excel

前言 在現代的Web應用開發中,與Excel文件的導入和導出成爲了一項常見而重要的任務。無論是數據交換、報告生成還是數據分析,與Excel文件的交互都扮演着至關重要的角色。本文小編將爲大家介紹如何在熟悉的電子表格 UI 中輕鬆導入 Exce

原創 2024-03-20 10:43:28