现在遇到了一个测试网站,屏蔽了所有GET请求,POST请求有跨域限制。
http header中有一个token参数,但是实际上并没有校验token的值,即token为空也能通过。
但是必须有这个参数。
正常的请求头如下:
我想尝试实现CSRF,请问如何构造攻击页面?
如何在屏蔽了GET请求,POST请求有跨域限制的情况下实现CSRF
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
1条回答 默认 最新
- 2022-06-09 11:57回答 2 已采纳 直接用调用selenium的语言的http类库直接请求不行吗?比如Python的 requests,这种不存在跨域的问题。 或者直接打开ajax请求的网址,直接在这个网址上做ajax请求是同源的也不会
- 2022-01-06 17:15回答 2 已采纳 后台增加跨域配置 @Slf4j @Configuration public class WebCorsConfiguration { /** * 跨域过滤器 *
- 2022-11-06 23:39回答 1 已采纳 回答:也有可能是预检请求出现跨域问题,这个是响应头没有符合要求,有可能在后端获得这个请求的时候没有放行,看一下请求的Network,显示的方式是不是Options,另外正常的axios发送请求附带头部
- 2020-03-07 17:26Ethan_pika的博客 AJAX POST请求 Spring Boot开启Security(会自动开启CSRF机制) 请求出现403问题 简单的禁用CSRF 在继承了WebSecurityConfigurerAdapter的Spring管理类的configure方法中加入http.csrf().disable()代码即可...
- 2022-01-08 15:20回答 4 已采纳 用postman或者apipost请求是什么结果
- 2021-11-28 07:36回答 2 已采纳 可以参考这篇文章进行学习如何配置跨域请求 C#进阶系列——WebApi 跨域问题解决方案:CORS - 懒得安分 - 博客园 前言:上篇总结
- 2022-11-02 03:29回答 8 已采纳 请求时,不能带多余的字段比如authorization,只能有content-type字段
- 2022-08-19 20:37彭式程序猿的博客 前端安全之CSRF,日常防范CSRF攻击的几种方式
- 2021-08-31 16:41回答 3 已采纳 跨域问题有前端的解决方式也有后端的解决方式。
- 2022-06-20 11:21回答 4 已采纳 这个是模拟前端分离的, 可以使用proxy解决, 也可以干脆把data.json丢到public目录来引用
- 2022-05-07 15:59回答 4 已采纳 看看Console中的报错信息,你这个没有具体的报错信心,是没法看到问题在哪里的
- 2021-03-08 06:34xxxibb的博客 Django跨域请求CSRF详解web跨域请求1.为什么要有跨域限制举个例子:1.用户登录了自己的银行页面 http://mybank.com,http://mybank.com向用户的cookie中添加用户标识。2.用户浏览了恶意页面 http://evil.com。执行了...
- 2022-02-14 11:54回答 2 已采纳 调用其他人的服务一般是API接口,你看看能否调用,还有对方支持调用就行了
- 2022-05-20 23:40星之仔的博客 概念:CSRF(Cross Site Request Forgery)跨域请求伪造,顾名思义,是在跨域的基础上利用伪造请求而达成的一种攻击手段。
- 2021-08-31 16:14泠心白夜的博客 CSRF跨域请求伪造 经了解,还是有很多系统没有针对该攻击做防御措施。即便如此,并不建议、推荐抑或是鼓励大家使用该方式攻击别人的网站、系统或App等。 攻击行为可能触犯刑法破坏计算机信息系统罪或其他罪。 CSRF...
- 没有解决我的问题, 去提问
悬赏问题
- ¥15 stata安慰剂检验作图但是真实值不出现在图上
- ¥15 c程序不知道为什么得不到结果
- ¥40 复杂的限制性的商函数处理
- ¥15 程序不包含适用于入口点的静态Main方法
- ¥15 素材场景中光线烘焙后灯光失效
- ¥15 请教一下各位,为什么我这个没有实现模拟点击
- ¥15 执行 virtuoso 命令后,界面没有,cadence 启动不起来
- ¥50 comfyui下连接animatediff节点生成视频质量非常差的原因
- ¥20 有关区间dp的问题求解
- ¥15 多电路系统共用电源的串扰问题