Fetch & Headers & CSRF

https://developer.mozilla.org/en-US/docs/Web/API/Fetch_API/Using_Fetch#Headers

X-Custom-Header

const myHeaders = new Headers();

myHeaders.append('Content-Type', 'text/plain');

myHeaders.append('X-Custom-Header', 'ProcessThisImmediately');

const content = 'Hello World';

myHeaders.append('Content-Length', content.length.toString());


// The same can be achieved by passing an array of arrays or an object literal to the constructor:

const myHeaders = new Headers({

  'Content-Type': 'text/plain',

  'Content-Length': content.length.toString(),

  'X-Custom-Header': 'ProcessThisImmediately'

});


  headers: {

    "Content-Type": "application/json",

    "x-csrf-token": csrftoken,

    // .setRequestHeader('x-csrf-token', csrftoken);

  },

CSRF 攻击:伪造用户请求向网站发起恶意请求。

message: "invalid csrf token"

https://eggjs.org/zh-cn/core/security.html#安全威胁csrf的防范

https://eggjs.org/zh-cn/core/security.html#安全威胁-csrf-的防范

// CSRF

// config/config.default.js

// module.exports = {

//   security: {

//     csrf: {

//       ignoreJSON: true, // 默认为 false,当设置为 true 时,将会放过所有 content-type 为 `application/json` 的请求

//     },

//   },

// };

config.security = {

  csrf: {

    enable: false,

  },

};

demo

text



const url = `http://localhost:7001/product/create`;

const json = { id: '123', name: 'admin' };

const csrftoken = document.cookie.split(';').map(item => item.trim()).map(item => ({[item.split(`=`)[0]]: item.split(`=`)[1]})).filter(obj => obj.csrfToken)[0].csrfToken;;

fetch(url, {

  headers: {

    "Content-Type": "application/json",

    "x-csrf-token": csrftoken,

    // .setRequestHeader('x-csrf-token', csrftoken);

  },

  // credentials: "same-origin",// cookie

  method: "POST",

  // mode: "cors",

  body: JSON.stringify(json),

})

.then(res => res.text())

// .then(res => res.json())

.then(json => {

  console.log(`text =`, json);

  // console.log(`json =`, JSON.stringify(json, null, 4));

  return json;

})

.catch(err => console.error(`error =`, err));

POST

JSON

const url = `http://localhost:7001/product/create`;

const json = { id: '123', name: 'admin' };

const csrftoken = document.cookie.split(';').map(item => item.trim()).map(item => ({[item.split(`=`)[0]]: item.split(`=`)[1]})).filter(obj => obj.csrfToken)[0].csrfToken;;

fetch(url, {

  headers: {

    "Content-Type": "application/json",

    "x-csrf-token": csrftoken,

  },

  credentials: "include",// cookie

  method: "POST",

  mode: "cors",

  body: JSON.stringify(json),

})

// .then(res => res.text())

.then(res => res.json())

.then(json => {

//   console.log(`text =`, json);

  console.log(`json =`, JSON.stringify(json, null, 4));

  return json;

})

.catch(err => console.error(`error =`, err));

Promise {<pending>}

VM13893:15 json = {

    "id": "123",

    "name": "admin"

}

cURL

$ curl 'http://localhost:7001/product/create' \

  -H 'Connection: keep-alive' \

  -H 'DNT: 1' \

  -H 'x-csrf-token: Lg_TzQXsAh7Rk27ztpzl3gYs' \

  -H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4137.0 Safari/537.36' \

  -H 'Content-Type: application/json' \

  -H 'Accept: */*' \

  -H 'Origin: http://localhost:7001' \

  -H 'Sec-Fetch-Site: same-origin' \

  -H 'Sec-Fetch-Mode: cors' \

  -H 'Sec-Fetch-Dest: empty' \

  -H 'Referer: http://localhost:7001/product/create\

  -H 'Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7' \

  -H 'Cookie: csrfToken=Lg_TzQXsAh7Rk27ztpzl3gYs; sensorsdata2015jssdkcross=%7B%22distinct_id%22%3A%22171319a1aef2f3-088239ecd3d0f5-6a3f0f7b-1764000-171319a1af0b4c%22%2C%22first_id%22%3A%22%22%2C%22props%22%3A%7B%22%24latest_traffic_source_type%22%3A%22url%E7%9A%84domain%E8%A7%A3%E6%9E%90%E5%A4%B1%E8%B4%A5%22%2C%22%24latest_search_keyword%22%3A%22url%E7%9A%84domain%E8%A7%A3%E6%9E%90%E5%A4%B1%E8%B4%A5%22%2C%22%24latest_referrer%22%3A%22url%E7%9A%84domain%E8%A7%A3%E6%9E%90%E5%A4%B1%E8%B4%A5%22%7D%2C%22%24device_id%22%3A%22171319a1aef2f3-088239ecd3d0f5-6a3f0f7b-1764000-171319a1af0b4c%22%7D' \

  --data-binary '{"id":"123","name":"admin"}' \

  --compressed

Fetch & Headers & CSRF的更多相关文章

  1. 前后端数据交互(四)——fetch 请求详解

    fetch 是 XMLHttpRequest 的升级版,使用js脚本发出网络请求,但是与 XMLHttpRequest 不同的是,fetch 方式使用 Promise,相比 XMLHttpReques ...

  2. 让你的ASP.NET Core应用程序更安全

    让你的ASP.NET Core应用程序更安全 对于ASP.NET Core应用程序,除了提供认证和授权机制来保证服务的安全性,还需要考虑下面的一些安全因素: CSRF 强制HTTPS 安全的HTTP ...

  3. spring security xml配置详解

    security 3.x <?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns= ...

  4. 转:Spring学习笔记---Spring Security登录页

    转:http://axuebin.com/blog/2016/06/21/spring-security/?utm_source=tuicool&utm_medium=referral. 提示 ...

  5. secruity

    security3.x <?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns=& ...

  6. Python 爬虫系列

    爬虫简介 网络爬虫 爬虫指在使用程序模拟浏览器向服务端发出网络请求,以便获取服务端返回的内容. 但这些内容可能涉及到一些机密信息,所以爬虫领域目前来讲是属于灰色领域,切勿违法犯罪. 爬虫本身作为一门技 ...

  7. fetch 添加请求头headers

    // var headers = new Headers(); // headers.append('Authorization', localStorage.getItem('token')); f ...

  8. 014_浅说 XSS和CSRF

    在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式.本文将会简单介绍 XSS 和 CSRF 的攻防问题. 声明:本文的示例仅用于演示相关的攻击原理 XSS XSS,即 Cross Sit ...

  9. ajax、fetch、axios — 请求数据

    jquery ajax jq 的ajax是对原生XHR的封装,除此以外还增添了对JSONP的支持.用起来非常方便 用法: $.ajax({ url:发送请求的地址, data:数据的拼接,//发送到服 ...

随机推荐

  1. UT /SIT/ UAT

    UT /SIT/ UAT - 云+社区 - 腾讯云 https://cloud.tencent.com/developer/article/1541268 我们公司只有测试环境--准生产环境--生产环 ...

  2. git database 数据库 平面文件 Git 同其他系统的重要区别 Git 只关心文件数据的整体是否发生变化,而大多数其他系统则只关心文件内容的具体差异 Git 的设计哲学

    小结: 1.如果要浏览项目的历史更新摘要,Git 不用跑到外面的服务器上去取数据回来 2.注意 git clone  应指定版本,它复制的这个版本的全部历史信息: 各个分支  git init 数据库 ...

  3. 洛谷P2865

    感觉此题可作为严格次短路的模板,因此来写一写 Description 给定 \(n\) 个点,\(r\) 条双向道路,求从 \(1\) 号点到 \(n\) 号点的严格次短路 Solution 维护两个 ...

  4. Excel常见后缀名

    1.格式.xlsx:excel2007-2016版默认的文件格式,不能有宏: 2.格式.xls:excel97-2003版,可以有宏: 3.格式.csv:以逗号分隔的文本文件,便于兼容其他程序,只保存 ...

  5. FridaHook框架学习(2)

    FridaHook框架学习(2) 前言 学习过程参考https://bbs.pediy.com/thread-227233.htm. 逆向分析 安装并运行例子程序,可以看到这个例子是一个验证注册码的程 ...

  6. Java——Number类

    在平时学习中,当我们需要使用数字的时候,通常使用内置数据类型,如byte,int,long,double等. int i =12; float a = 12.3; 在实际开发中,经常会遇到需要使用对象 ...

  7. Spark练习之wordcount,基于排序机制的wordcount

    Spark练习之wordcount 一.原理及其剖析 二.pom.xml 三.使用Java进行spark的wordcount练习 四.使用scala进行spark的wordcount练习 五.基于排序 ...

  8. Java帝国的成立

    java帝国的成立 一场旷日持久的战争 1972年C语言诞生 贴近硬件 ,运行极快 , 效率极低 操作系统, 编译器 ,数据库, 网络系统 指针和内存 (容易犯错 , 暴力) 1982 年C++诞生 ...

  9. Redis命令之setbit

    setbit的作用是,对key上存储的字符串,设置或清除指定偏移量上的位(bit). 语法如下: SETBIT key offset value key是要操作的对象的键. offset是操作对象上的 ...

  10. [源码分析] Dynomite 分布式存储引擎 之 DynoJedisClient(2)

    [源码分析] Dynomite 分布式存储引擎 之 DynoJedisClient(2) 目录 [源码分析] Dynomite 分布式存储引擎 之 DynoJedisClient(2) 0x00 摘要 ...