现在遇到了一个测试网站,屏蔽了所有GET请求,POST请求有跨域限制。
http header中有一个token参数,但是实际上并没有校验token的值,即token为空也能通过。
但是必须有这个参数。
正常的请求头如下:
我想尝试实现CSRF,请问如何构造攻击页面?
如何在屏蔽了GET请求,POST请求有跨域限制的情况下实现CSRF
- 写回答
- 好问题 0 提建议
- 关注问题
分享- 邀请回答
-
1条回答 默认 最新
- 2024-02-29 21:18- POST:同样受限于同源策略,但在CORS(跨源资源共享)设置下,POST请求可以实现跨域写入。 10. **重试机制** - GET:适合用于可以安全重试的操作,比如刷新页面。 - POST:通常不应重试,因为可能导致重复操作...
- 2020-10-22 03:30只有在明确了解和信任目标域的情况下,才应该允许跨域请求,以防止潜在的跨站脚本攻击(XSS)和跨站请求伪造(CSRF)等安全风险。此外,跨域资源共享应该遵守同源策略的初衷,即只有在必要的情况下才允许跨域请求,...
- 2020-10-14 19:28但如果我们确实需要在跨域请求中携带cookie,可以通过设置`withCredentials`属性来实现。 在Vue项目中,通常在`main.js`文件的入口处,我们可以全局设置axios实例,开启携带cookie的选项: ```javascript import ...
- 2020-03-07 17:26Ethan_pika的博客 AJAX POST请求 Spring Boot开启Security(会自动开启CSRF机制) 请求出现403问题 简单的禁用CSRF 在继承了WebSecurityConfigurerAdapter的Spring管理类的configure方法中加入http.csrf().disable()代码即可...
- 2024-11-09 16:43全栈探索者chen的博客 跨站请求伪造(Cross-Site Request Forgery,简称 CSRF)是一种攻击方式,攻击者诱导已登录的用户在不知情的情况下向受信任的 Web 应用发送恶意请求。由于用户的身份认证信息(如 Cookie)会自动随请求发送,因此...
- 2024-05-31 11:10Soujer的博客 晓杰最近在开发一个活码引流系统,功能基本已经开发完成,正在研究授权方面的问题,下面是晓杰研究出来的结果,分享给大家,不喜勿喷!
- 2020-09-01 01:43跨域请求资源是Web开发中常见的一类问题,由于浏览器的同源策略限制,JavaScript只能访问与当前页面同源...在处理跨域问题时,开发者还需要考虑安全性,防止跨站脚本攻击(XSS)和跨站请求伪造(CSRF)等安全风险。
- 2021-08-14 11:29Zeker62的博客 CSRF 英文名:cross-site request forgery 叫做跨站请求伪造 CSRF不是很流行,但是具有很高的危险性,相比于XSS更加难以防范。 CSRF攻击效果:攻击者盗用身份,以被害者的姓名执行某些非法操作。比如使用账户发邮件...
- 2020-09-19 23:25在今天的互联网开发中,前端与后端分离的模式变得越来越普遍,而这种模式下跨域请求问题是一个常见又不得不解决的问题。跨域资源共享(Cross-Origin Resource Sharing,CORS)是一种浏览器安全策略,它允许一个域的...
- 2020-09-20 09:11JSONP虽然在某些情况下有用,但由于只支持GET请求,其使用场景受到限制。直接在视图中设置响应头则适用于那些需要定制化控制的接口。理解这些机制有助于你在开发过程中更好地处理跨域请求,提高前后端协作的效率。
- 没有解决我的问题, 去提问
