因為資料分離,也沒有將頁面寫成themeleaf的形式,所以後台通過傳統方式傳的csrf資訊接收不到。
於是後台將相關資訊寫入cookie,前端通過document.cookie的方式去拿到對應的資訊,利用split分解拿到對應的csrf,並將其用window.xx的方式設定為全域性變數,在請求的fetch.js的元件中,將post請求的鏈結上掛上_csrf=***x的資訊即可。
ps:csrf主要是防止登入進去之後的操作,所以登入的請求就沒有用到csrf資訊。
CSRF攻擊原理
假設a.cn這個 是乙個xx管理系統,我只有這個系統的普通使用者的賬戶,這個賬戶功能很有限,沒有管理員賬戶的許可權大,只有管理員賬戶能新增其它的管理員賬戶,我在使用這個 的過程中發現這個 在新增管理員的時候沒有驗證碼或者token驗證,只需要輸入賬號和密碼就可以新增管理員了,這樣的話意味著可以被cs...
CSRF攻擊原理
csrf cross site request forgery 跨站請求偽造,也被稱為 one click attack 或者session riding,通常縮寫為csrf或者xsrf,是一種對 的惡意利用。儘管聽起來像跨站指令碼 xss 但它與xss非常不同,xss利用站點內的信任使用者,而cs...
防止CSRF攻擊
2.新增校驗token。前端發出請求時,加入從後端返回的token欄位的值 不能儲存在cookie中 攻擊者無法偽造的值 如果token不正確,不通過請求。3.設定 cookie 的samesite屬性 lax 相對嚴格模式,大多數情況下不傳送 cookie,導航到目標 的 get 請求除外。請求型...