Fetch & Headers & CSRF

https://developer.mozilla.org/en-US/docs/Web/API/Fetch_API/Using_Fetch#Headers

X-Custom-Header

const myHeaders = new Headers();

myHeaders.append('Content-Type', 'text/plain');

myHeaders.append('X-Custom-Header', 'ProcessThisImmediately');

const content = 'Hello World';

myHeaders.append('Content-Length', content.length.toString());


// The same can be achieved by passing an array of arrays or an object literal to the constructor:

const myHeaders = new Headers({

  'Content-Type': 'text/plain',

  'Content-Length': content.length.toString(),

  'X-Custom-Header': 'ProcessThisImmediately'

});


  headers: {

    "Content-Type": "application/json",

    "x-csrf-token": csrftoken,

    // .setRequestHeader('x-csrf-token', csrftoken);

  },

CSRF 攻击:伪造用户请求向网站发起恶意请求。

message: "invalid csrf token"

https://eggjs.org/zh-cn/core/security.html#安全威胁csrf的防范

https://eggjs.org/zh-cn/core/security.html#安全威胁-csrf-的防范

// CSRF

// config/config.default.js

// module.exports = {

//   security: {

//     csrf: {

//       ignoreJSON: true, // 默认为 false,当设置为 true 时,将会放过所有 content-type 为 `application/json` 的请求

//     },

//   },

// };

config.security = {

  csrf: {

    enable: false,

  },

};

demo

text



const url = `http://localhost:7001/product/create`;

const json = { id: '123', name: 'admin' };

const csrftoken = document.cookie.split(';').map(item => item.trim()).map(item => ({[item.split(`=`)[0]]: item.split(`=`)[1]})).filter(obj => obj.csrfToken)[0].csrfToken;;

fetch(url, {

  headers: {

    "Content-Type": "application/json",

    "x-csrf-token": csrftoken,

    // .setRequestHeader('x-csrf-token', csrftoken);

  },

  // credentials: "same-origin",// cookie

  method: "POST",

  // mode: "cors",

  body: JSON.stringify(json),

})

.then(res => res.text())

// .then(res => res.json())

.then(json => {

  console.log(`text =`, json);

  // console.log(`json =`, JSON.stringify(json, null, 4));

  return json;

})

.catch(err => console.error(`error =`, err));

POST

JSON

const url = `http://localhost:7001/product/create`;

const json = { id: '123', name: 'admin' };

const csrftoken = document.cookie.split(';').map(item => item.trim()).map(item => ({[item.split(`=`)[0]]: item.split(`=`)[1]})).filter(obj => obj.csrfToken)[0].csrfToken;;

fetch(url, {

  headers: {

    "Content-Type": "application/json",

    "x-csrf-token": csrftoken,

  },

  credentials: "include",// cookie

  method: "POST",

  mode: "cors",

  body: JSON.stringify(json),

})

// .then(res => res.text())

.then(res => res.json())

.then(json => {

//   console.log(`text =`, json);

  console.log(`json =`, JSON.stringify(json, null, 4));

  return json;

})

.catch(err => console.error(`error =`, err));

Promise {<pending>}

VM13893:15 json = {

    "id": "123",

    "name": "admin"

}

cURL

$ curl 'http://localhost:7001/product/create' \

  -H 'Connection: keep-alive' \

  -H 'DNT: 1' \

  -H 'x-csrf-token: Lg_TzQXsAh7Rk27ztpzl3gYs' \

  -H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4137.0 Safari/537.36' \

  -H 'Content-Type: application/json' \

  -H 'Accept: */*' \

  -H 'Origin: http://localhost:7001' \

  -H 'Sec-Fetch-Site: same-origin' \

  -H 'Sec-Fetch-Mode: cors' \

  -H 'Sec-Fetch-Dest: empty' \

  -H 'Referer: http://localhost:7001/product/create\

  -H 'Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7' \

  -H 'Cookie: csrfToken=Lg_TzQXsAh7Rk27ztpzl3gYs; sensorsdata2015jssdkcross=%7B%22distinct_id%22%3A%22171319a1aef2f3-088239ecd3d0f5-6a3f0f7b-1764000-171319a1af0b4c%22%2C%22first_id%22%3A%22%22%2C%22props%22%3A%7B%22%24latest_traffic_source_type%22%3A%22url%E7%9A%84domain%E8%A7%A3%E6%9E%90%E5%A4%B1%E8%B4%A5%22%2C%22%24latest_search_keyword%22%3A%22url%E7%9A%84domain%E8%A7%A3%E6%9E%90%E5%A4%B1%E8%B4%A5%22%2C%22%24latest_referrer%22%3A%22url%E7%9A%84domain%E8%A7%A3%E6%9E%90%E5%A4%B1%E8%B4%A5%22%7D%2C%22%24device_id%22%3A%22171319a1aef2f3-088239ecd3d0f5-6a3f0f7b-1764000-171319a1af0b4c%22%7D' \

  --data-binary '{"id":"123","name":"admin"}' \

  --compressed

Fetch & Headers & CSRF的更多相关文章

  1. 前后端数据交互(四)——fetch 请求详解

    fetch 是 XMLHttpRequest 的升级版,使用js脚本发出网络请求,但是与 XMLHttpRequest 不同的是,fetch 方式使用 Promise,相比 XMLHttpReques ...

  2. 让你的ASP.NET Core应用程序更安全

    让你的ASP.NET Core应用程序更安全 对于ASP.NET Core应用程序,除了提供认证和授权机制来保证服务的安全性,还需要考虑下面的一些安全因素: CSRF 强制HTTPS 安全的HTTP ...

  3. spring security xml配置详解

    security 3.x <?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns= ...

  4. 转:Spring学习笔记---Spring Security登录页

    转:http://axuebin.com/blog/2016/06/21/spring-security/?utm_source=tuicool&utm_medium=referral. 提示 ...

  5. secruity

    security3.x <?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns=& ...

  6. Python 爬虫系列

    爬虫简介 网络爬虫 爬虫指在使用程序模拟浏览器向服务端发出网络请求,以便获取服务端返回的内容. 但这些内容可能涉及到一些机密信息,所以爬虫领域目前来讲是属于灰色领域,切勿违法犯罪. 爬虫本身作为一门技 ...

  7. fetch 添加请求头headers

    // var headers = new Headers(); // headers.append('Authorization', localStorage.getItem('token')); f ...

  8. 014_浅说 XSS和CSRF

    在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式.本文将会简单介绍 XSS 和 CSRF 的攻防问题. 声明:本文的示例仅用于演示相关的攻击原理 XSS XSS,即 Cross Sit ...

  9. ajax、fetch、axios — 请求数据

    jquery ajax jq 的ajax是对原生XHR的封装,除此以外还增添了对JSONP的支持.用起来非常方便 用法: $.ajax({ url:发送请求的地址, data:数据的拼接,//发送到服 ...

随机推荐

  1. 分布式kv存储系统之Etcd集群

    etcd是什么? etcd是一个高可用的分布式键值数据库,可用于服务发现,etcd采用 raft 一致性算法,基于 Go 语言实现.其特点有简单易用,所谓简单易用是指安装配置简单,提供http/htt ...

  2. 「笔记」AC 自动机

    目录 写在前面 定义 引入 构造 暴力 字典图优化 匹配 在线 离线 复杂度 完整代码 例题 P3796 [模板]AC 自动机(加强版) P3808 [模板]AC 自动机(简单版) 「JSOI2007 ...

  3. jvm 总体梳理

    jvm 总体梳理 1.类的加载机制 1.1什么是类的加载 1.2类的生命周期 1.3类加载器 1.4类加载机制 2.jvm内存结构 JVM内存模型 2.1jvm内存结构 2.2对象分配规则 3.GC算 ...

  4. form(form基础、标签渲染、错误显示 重置信息、form属性、局部钩子、全局钩子)

    form基础 Django中的Form使用时一般有两种功能: 1.生成html标签 2.验证输入内容 要想使用django提供的form,要在views里导入form模块 from django im ...

  5. 小白搭建WNMP详细教程---NGINX安装与设置

    一.Nginx下载 Nginx (engine x) 是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器.Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Ramble ...

  6. Spring MVC 处理一个请求的流程分析

    Spring MVC是Spring系列框架中使用频率最高的部分.不管是Spring Boot还是传统的Spring项目,只要是Web项目都会使用到Spring MVC部分.因此程序员一定要熟练掌握MV ...

  7. docker(2)CentOS 7安装docker环境

    前言 前面一篇学了mac安装docker,这篇来学习在linux上安装docker 环境准备 Docker支持以下的CentOS版本,目前,CentOS 仅发行版本中的内核支持 Docker. Doc ...

  8. vue后台管理系统遇到的注意事项以及总结

    地址栏加#号问题:Vue-router 中有hash模式和history模式,vue的路由默认是hash模式,一般开发的单页应用的URL都会带有#号的hash模式第一步在router/index.js ...

  9. HDU-6881 Tree Cutting (HDU多校D10T5 点分治)

    HDU-6881 Tree Cutting 题意 \(n\) 个点的一棵树,要求删除尽量少的点,使得删点之后还是一棵树,并且直径不超过 \(k\),求删除点的数量 分析 补题之前的一些错误想法: 尝试 ...

  10. 2019 徐州网络赛 M Longest subsequence t

    对于答案来说,一定是 前 i-1 个字符和 t的前 i 个一样,然后第 i 个字符比 t的 大 \(i\in [1,m]\) 前缀为t,然后长度比t长 对于第一种情况,枚举这个 i ,然后找最小的 p ...