JS 튜토리얼

동일 출처 정책 및 CSRF 보안 정책에 대한 지식 포인트 설명

巴扎黑

Jul 23, 2017 pm 02:27 PM

csrf안전전략

저는 한동안 웹 개발을 해왔지만 동일 출처 정책과 CSRF 보안 정책에 대해 깊은 이해를 해본 적이 없어서 이해하기 위해 간단한 실험을 해보는 시간을 가졌습니다. 실험 과정은 다음과 같으니, 모두와 공유해 보세요.

실험 목적: 동일 원본 정책과 csrf 보안 정책 간의 관계 및 차이점을 확인합니다.

실험 계획: 1. Linux는 django 프레임워크의 Python 서버를 구축합니다. (a); 간단한 js 서버를 구축합니다. (b) 的的 2.B의 홈페이지는 다음과 같이 구성됩니다. (1) A 양식으로 제출합니다. (2) Postget 메소드를 통해 (2) Ajax 메소드(postget)에서 데이터를 요구합니다. CSRF 보안 정책을 활성화하지 않으면 b의 홈페이지를 엽니다. b의 페이지는 정상적으로 postget을 통해 a에 양식을 제출하고 응답 페이지를 얻을 수 있지만 ajax의 getpost 메소드를 통해 a의 데이터를 요청할 수 없습니다. a의 로그를 관찰해보면, b의 요청은 a에서 수신할 수 있지만 b의 요청에 첨부된 데이터는 성공적으로 로드되지 않은 것으로 나타났습니다. b의 ajax(getpost) 요청은 a의 응답을 얻을 수 있으며, b. 브라우저에 동일 출처 정책 경고가 표시됩니다.
2. A가 csrf 보안 정책을 열면 b의 홈페이지를 엽니다. b의 페이지는 일반적으로 get 메소드를 통해 a에 양식을 제출하고 응답 페이지를 얻을 수 있지만 post 메소드를 통해서는 제출할 수 없습니다. b의 페이지는 ajax를 통해 제출될 수 있습니다. getpost 메소드는 a의 데이터를 요청할 수 없습니다.
결론: 1. 동일 출처 정책: js 언어는 보안을 고려하여 설계되었으며 동일 출처 액세스만 허용합니다. 원본이 아닌 액세스도 해당 서버에 요청을 보낼 수 있지만 브라우저 요청에 첨부된 모든 데이터는 손실되며 서버는 요청에 대한 응답을 반환할 수 있습니다. 그러나 서버에서 발행한 응답을 브라우저가 구문 분석하는 응답 단계 중에 동일 출처 정책 경고가 표시됩니다. (js 기반 ajax 기술 설명)

2. csrf 보안 정책: 서버를 구축할 때 보안을 고려하여 일반 개발자는 관련 설계를 해야 합니다(프레임워크는 일반적으로 csrf 보안 정책 설계와 함께 제공됩니다). csrf 정책 프로세스는 다음과 같습니다. 서버 페이지를 요청할 때 서버의 응답은 브라우저에 쿠키를 설정합니다. 게시물 양식이 서버에 제출되면 서버에서 설정한 쿠키가 브라우저의 요청에 추가되어 함께 제출됩니다. 요청을 받으면 첨부된 쿠키가 올바른지 확인합니다. (각 사용자와 서버의 통신 연결에는 하나의 고유한 쿠키만 있습니다. 연결이 중단된 후 서버는 다음 연결 시 브라우저에 새 쿠키를 설정합니다. 쿠키 확인이 통과되어야만 올바른 응답을 받을 수 있습니다. 확인에 실패하면 "403" 오류 코드가 발행됩니다.

  1 # --------------Django服务器部分代码--------------  2 # -*- coding:utf-8 -*-  3 from django.shortcuts import render  4 from django.http import HttpResponse, HttpResponseRedirect, JsonResponse  5   6 # Create your views here.  7   8   9 def index(request): 10  11     context = {'contents': 'hello world'} 12     # return HttpResponse("ok") 13     response= render(request, 'booktest/index.html', context) 14     return response 15  16  17 def args(request, id1, id2): 18  19     string = '%s--%s' % (id1, id2) 20     return HttpResponse(string) 21  22  23 def get1(request): 24  25     mode = request.encoding 26     dict = request.GET 27     a = dict.get('a') 28     b = dict.get('b') 29     c = dict.get('c') 30     string = 'method:%s--%s--%s--%s' % (mode, a, b, c) 31     return HttpResponse(string) 32  33  34 def get2(request): 35  36     dict = request.GET 37     a = dict.getlist('a') 38     b = dict.get('b') 39     c = dict.get('c') 40     d = dict.get('d', 'have no') 41     string = '%s--%s--%s--%s' % (a, b, c, d) 42     return HttpResponse(string) 43  44  45 def post(requst): 46  47     str_data = '---%s---%s' % (requst.method, requst.POST.get('uname')) 48  49     return HttpResponse(str_data) 50  51  52 def get3(request): 53  54     dict = request.GET 55     a = dict.get('a') 56     b = dict.get('b') 57     c = dict.get('c') 58     context = {'1': a, '2': b, '3': c} 59     # return HttpResponse("ok") 60     return HttpResponse(context) 61     # return render(request, 'booktest/get1.html', context) 62  63  64 def get4(request): 65  66     return HttpResponseRedirect('/admin/') 67  68  69 def ajax(request): 70  71     # return HttpResponse('ok') 72     return render(request, 'booktest/ajax.html/') 73  74  75 def json(request): 76  77     data1 = request.POST.get('csrfmiddlewaretoken') 78     data2 = request.POST.get('data') 79     print('------------%s------------%s---' % (data1, data2)) 80     a = {'h1': 'hello', 'h2': 'world', 'method': request.method, 'csrf': data1, 'data': data2} 81  82     return JsonResponse(a) 83  84  85 def cookie_set(request): 86     print('123') 87     cookie_value = 'hello' 88  89     response = HttpResponse("<h1 id="设置Cookie-请查看响应报文头">设置Cookie，请查看响应报文头</h1>") 90     # response = HttpResponse("hello") 91 # Cookie中设置汉字键值对失败 92     response.set_cookie('h1', cookie_value) 93     # return HttpResponse('ok') 94     return response 95  96  97 def cookie_get(request): 98  99     response = HttpResponse('<h1 id="读取Cookie-数据如下-br-cookies-request-COOKIES-if-cookies-get-h-response-write-h-cookies-h">读取Cookie，数据如下：<br>')100     cookies = request.COOKIES101     if cookies.get('h1'):102         response.write('<h1>'+cookies['h1']+'</h1>')103 104     return response</h1>

 1  2  3 nbsp;html> 4  5  6     <meta> 7     <title>index</title> 8  9 10 {#    <input>#}11     <a>返回主页</a>12 13     <hr>14     <h1 id="参数">参数</h1>15     <a>get一键传一值</a>16     <br>17     <a>get一键传多值</a>18     <br><br>19

32 33

GET属性

35 一键传一值36
37 一键传多值38 39

JsonResponse

41 ajax42 43

44 45 设置Cookie46
47 获取Cookie48 49

 1  2  3 nbsp;html> 4  5  6     <meta> 7     <title>ajax</title> 8  9 <script></script>10 <script>11         $(function () {12             data1 = $(&#39;input[name="csrfmiddlewaretoken"]&#39;).prop(&#39;value&#39;);13             $(&#39;#btnjson&#39;).click(function () {14                 $.post(&#39;/json/&#39;, {&#39;csrfmiddlewaretoken&#39;:data1,&#39;data&#39;:&#39;Hi Hellow&#39;}, function (data) {15                     ul = $(&#39;#jsonlist&#39;);16                     ul.append(&#39;<li>&#39; + data[&#39;h1&#39;] + &#39;&#39;);17                     ul.append(&#39;<li>&#39; + data[&#39;h2&#39;] + &#39;&#39;);18                     ul.append(&#39;<li>&#39; + data[&#39;method&#39;] + &#39;&#39;);19                     ul.append(&#39;<li>&#39; + data[&#39;csrf&#39;] + &#39;&#39;);20                     ul.append(&#39;<li>&#39; + data[&#39;data&#39;] + &#39;&#39;);21                 })22             });23         })24     </script>25 26 27     <div>hello world!</div>28     {% csrf_token %}29     <input>30

31 32

 1  2  3 nbsp;html> 4  5  6     <meta> 7     <title>index</title> 8      9     10     <script></script>11     <script>12         $(function () {13             data1 = $(&#39;input[name="csrfmiddlewaretoken"]&#39;).prop(&#39;value&#39;);14             $(&#39;#btnjson&#39;).click(function () {15                 $.get(&#39;http://192.168.27.128:8000/json/&#39;, {&#39;csrfmiddlewaretoken&#39;:data1,&#39;data&#39;:&#39;HiHellow&#39;}, function (data) {16                     ul = $(&#39;#jsonlist&#39;);17                     ul.append(&#39;<li>&#39; + data[&#39;h1&#39;] + &#39;&#39;);18                     ul.append(&#39;<li>&#39; + data[&#39;h2&#39;] + &#39;&#39;);19                     ul.append(&#39;<li>&#39; + data[&#39;method&#39;] + &#39;&#39;);20                     ul.append(&#39;<li>&#39; + data[&#39;csrf&#39;] + &#39;&#39;);21                     ul.append(&#39;<li>&#39; + data[&#39;data&#39;] + &#39;&#39;);22                 })23             });24         })25     </script>26     27     28 29 30 {#    <input>#}31     <a>返回主页</a>32 33     <hr>34     <h1 id="参数">参数</h1>35     <a>get一键传一值</a>36     <br>37     <a>get一键传多值</a>38     <br><br>39

52 53

GET属性

55 一键传一值56
57 一键传多值58 59

JsonResponse

61 ajax62 63

64 65 设置Cookie66
67 获取Cookie68 69

hello world!

71 {% csrf_token %}72 73

74 75

위 내용은 동일 출처 정책 및 CSRF 보안 정책에 대한 지식 포인트 설명의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

JavaScript, C 및 브라우저의 관계May 01, 2025 am 12:06 AM

서론 나는 당신이 이상하다는 것을 알고 있습니다. JavaScript, C 및 Browser는 정확히 무엇을해야합니까? 그들은 관련이없는 것처럼 보이지만 실제로는 현대 웹 개발에서 매우 중요한 역할을합니다. 오늘 우리는이 세 가지 사이의 밀접한 관계에 대해 논의 할 것입니다. 이 기사를 통해 브라우저에서 JavaScript가 어떻게 실행되는지, 브라우저 엔진의 C 역할 및 웹 페이지의 렌더링 및 상호 작용을 유도하기 위해 함께 작동하는 방법을 알게됩니다. 우리는 모두 JavaScript와 브라우저의 관계를 알고 있습니다. JavaScript는 프론트 엔드 개발의 핵심 언어입니다. 브라우저에서 직접 실행되므로 웹 페이지를 생생하고 흥미롭게 만듭니다. 왜 Javascr

Node.js는 TypeScript가있는 스트림입니다Apr 30, 2025 am 08:22 AM

Node.js는 크림 덕분에 효율적인 I/O에서 탁월합니다. 스트림은 메모리 오버로드를 피하고 큰 파일, 네트워크 작업 및 실시간 애플리케이션을위한 메모리 과부하를 피하기 위해 데이터를 점차적으로 처리합니다. 스트림을 TypeScript의 유형 안전과 결합하면 Powe가 생성됩니다

Python vs. JavaScript : 성능 및 효율성 고려 사항Apr 30, 2025 am 12:08 AM

파이썬과 자바 스크립트 간의 성능과 효율성의 차이는 주로 다음과 같이 반영됩니다. 1) 해석 된 언어로서, 파이썬은 느리게 실행되지만 개발 효율이 높고 빠른 프로토 타입 개발에 적합합니다. 2) JavaScript는 브라우저의 단일 스레드로 제한되지만 멀티 스레딩 및 비동기 I/O는 Node.js의 성능을 향상시키는 데 사용될 수 있으며 실제 프로젝트에서는 이점이 있습니다.

JavaScript의 기원 : 구현 언어 탐색Apr 29, 2025 am 12:51 AM

JavaScript는 1995 년에 시작하여 Brandon Ike에 의해 만들어졌으며 언어를 C로 실현했습니다. 1.C Language는 JavaScript의 고성능 및 시스템 수준 프로그래밍 기능을 제공합니다. 2. JavaScript의 메모리 관리 및 성능 최적화는 C 언어에 의존합니다. 3. C 언어의 크로스 플랫폼 기능은 자바 스크립트가 다른 운영 체제에서 효율적으로 실행하는 데 도움이됩니다.

무대 뒤에서 : 어떤 언어의 힘이 자바 스크립트입니까?Apr 28, 2025 am 12:01 AM

JavaScript는 브라우저 및 Node.js 환경에서 실행되며 JavaScript 엔진을 사용하여 코드를 구문 분석하고 실행합니다. 1) 구문 분석 단계에서 초록 구문 트리 (AST)를 생성합니다. 2) 컴파일 단계에서 AST를 바이트 코드 또는 기계 코드로 변환합니다. 3) 실행 단계에서 컴파일 된 코드를 실행하십시오.

파이썬과 자바 스크립트의 미래 : 트렌드와 예측Apr 27, 2025 am 12:21 AM

Python 및 JavaScript의 미래 추세에는 다음이 포함됩니다. 1. Python은 과학 컴퓨팅 분야에서의 위치를 통합하고 AI, 2. JavaScript는 웹 기술의 개발을 촉진하고, 3. 교차 플랫폼 개발이 핫한 주제가되고 4. 성능 최적화가 중점을 둘 것입니다. 둘 다 해당 분야에서 응용 프로그램 시나리오를 계속 확장하고 성능이 더 많은 혁신을 일으킬 것입니다.

Python vs. JavaScript : 개발 환경 및 도구Apr 26, 2025 am 12:09 AM

개발 환경에서 Python과 JavaScript의 선택이 모두 중요합니다. 1) Python의 개발 환경에는 Pycharm, Jupyternotebook 및 Anaconda가 포함되어 있으며 데이터 과학 및 빠른 프로토 타이핑에 적합합니다. 2) JavaScript의 개발 환경에는 Node.js, VScode 및 Webpack이 포함되어 있으며 프론트 엔드 및 백엔드 개발에 적합합니다. 프로젝트 요구에 따라 올바른 도구를 선택하면 개발 효율성과 프로젝트 성공률이 향상 될 수 있습니다.

JavaScript가 C로 작성 되었습니까? 증거를 검토합니다Apr 25, 2025 am 12:15 AM

예, JavaScript의 엔진 코어는 C로 작성되었습니다. 1) C 언어는 효율적인 성능과 기본 제어를 제공하며, 이는 JavaScript 엔진 개발에 적합합니다. 2) V8 엔진을 예를 들어, 핵심은 C로 작성되며 C의 효율성 및 객체 지향적 특성을 결합하여 C로 작성됩니다.

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

Video Face Swap

완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!

뜨거운 도구

에디트플러스 중국어 크랙 버전

작은 크기, 구문 강조, 코드 프롬프트 기능을 지원하지 않음

PhpStorm 맥 버전

최신(2018.2.1) 전문 PHP 통합 개발 도구

SecList

SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.