本港台最快开奖结果_本港台118kj开奖现场_明日大富翁开奖结果

[2019]本港台最快开奖结果是给大家带来了一个可以免费下载正版的机会,1本港台118kj开奖现场为玩家提供免费好玩的iPad游戏下载,点击明日大富翁开奖结果了解更多优惠信息,因为只有在注册之后下载下来的平台才是官方指定的。

谈CSRF与JSONP设置header问题

来源:http://www.alloutofdebt.com 作者:新闻资讯 人气:80 发布时间:2020-01-05
摘要:问题一 JS发起请求的方式 方法一:JS代码中发起请求的方式普遍为AJAX,该技术在 1998年前后得到了应用。允许客户端脚本发送HTTP请求方法二:script标签请求方法三:通过HTML的方法 通过

问题一 JS发起请求的方式

方法一:JS代码中发起请求的方式普遍为AJAX,该技术在 1998 年前后得到了应用。允许客户端脚本发送HTTP请求 方法二:script标签请求方法三:通过HTML的方法

通过js自动在jsp中创建一个form表单,并给其method属性为post

function post(URL, PARAMS) { var temp = document.createElement("form"); temp.action = URL; temp.method = "post"; temp.style.display = "none"; for (var x in PARAMS) { var opt = document.createElement("textarea"); opt.name = x; opt.value = PARAMS[x]; temp.appendChild(opt); } document.body.appendChild(temp); temp.submit(); return temp; } $(".submit_d a").click(function(){ var data = ($(this).attr("class")).split("-"); var series = data[0]; var discharge = data[1]; var carriageNum = data[2]; var seatNum = data[3]; var gear = data[4]; var cost = data[5]; var pictureUrl = data[6]; var id = data[7]; post(ctx+"/order/rentcar.action",{"series":series,"discharge":discharge,"carriageNum":carriageNum,"seatNum":seatNum,"gear":gear,"cost":cost,"pictureUrl":pictureUrl,"id":id});});

本港台最快开奖结果,问题二 设置header、cookie

CSRF发起的请求可以设置cookie(token)、header么

CSRF或者jsonp,利用时需要跨域。

CORS

简单来说,请求时浏览器检测到跨域,会带上Origin,得到服务器的准许后才能够获取数据。

CORS不仅设置了AJAX跨域时的域名,还有请求方法、返回Header获取字段、允许发送cookie等

浏览器同源政策及其规避方法(阮一峰)

CORS需要大多数情况下,前端是无感知的,这是后端服务器做的部分。

JSONP

JSONP能够跨域的原因在于 标签允许跨域。

通过script拿到数据,形如

将会返回 foo(data)打在前端

前端再定义function foo(){},返回前端时就直接调用并传入数据。

缺点:

限于GET方法

一样无法自定义设置header和cookie。

代理

本地设置代理,ajax请求本地代理,再由本地通过非ajax方法去请求数据,返回给前端。不考虑。但是在某些情况下可以用,比如payload中需要拼接由跨域获取的数据。

这三种方法都是JS/AJAX跨域的方法。在CSRF/JSONP劫持的运用上,CORS跨域被限制的情况下不存在了,因此AJAX的GET/POST一堆灵活操作没法用。JSONP也无法设置header、cookie等。FORM表单请求的方式当然也没法设置header。

结论

CSRF/JSONP劫持中所用请求难以自定义header、cookie

本文由本港台最快开奖结果发布于新闻资讯,转载请注明出处:谈CSRF与JSONP设置header问题

关键词:

上一篇:高度自适应

下一篇:实现导入导出

最火资讯