-
Notifications
You must be signed in to change notification settings - Fork 16
CSRF
Сross Site Request Forgery ( межсайтовая подделка запроса )
Когда юзер заходит на сайт, созданный злоумышленником, от его лица может быть отправлен запрос на другой сервер, на котором юзер аутентифицирован
CSRF-атака возможна только в том случае, если сервер не требует обязательного включения в запрос подтверждения со стороны юзера, которое не может подделано атакующим скриптом
Для защиты от CSRF-атак можно использовать заголовок X-CSRF-TOKEN
- Токен должен быть предоставлен сервером
- Его можно записать в куки на клиенте
- При отправке запроса можно добавить заголовок X-CSRF-TOKEN со значением токена, предоставленным сервером
При получении ( POST - PUT - DELETE ) запроса сервер проверяет заголовок X-CSRF-TOKEN, и если значение не совпадает с токеном клиента или заголовок отсутствует, запрос отклоняется
var xhr = new XMLHttpRequest()
xhr.open (
"POST",
'http://ptsv2.com/t/garevna/post', true
)
xhr.setRequestHeader (
"Content-Type",
"application/x-www-form-urlencoded"
)
xhr.setRequestHeader(
"X-CSRF-TOKEN",
"AIJu7NUduZPGo-7uZ"
)
xhr.onreadystatechange = function() {
if( this.readyState === 4 && this.status === 200 ) {
console.log ( 'success' )
console.log ( this.responseText )
}
}
xhr.send ( "name=garevna&speciality=frontEnd" )
© Irina H.Fylyppova 2018
Использование данных материалов или любой их части коммерческими школами ( курсами ) является нарушением авторских прав
| 1 | 2 | 3 | 4 | 5 |
| 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 |
| ⏬ |
|---|
- Блок-схема алгоритма
- Developer Tools
- Chrome DevTools
- Переменные
- Оператор typeof
- Структуры данных
- Операторы присваивания
- Логические выражения
- Условные операторы
- Инкремент
- Свойство length
- Оператор цикла for
- UTF-8
Homework
- Приведение типов
- NaN | null | Infinity
- BigInt (ES10)
- Функции
- Методы
- Методы строк
- Методы массивов
- Date ()
Самостоятельная работа
Практика (XSS)
Homework
- Циклы while и do...while
- Циклы for...of и for...in
- Параметры по умолчанию
- Объект function
Практика
Homework
- Нативные и host-объекты
- Литерал объекта
- Унаследованные свойства
- Конструктор
- Модель наследования
- Публичные и приватные свойства
- Оператор in
1
Homework
- Итерирующие методы массивов
- Тестирование производительности
- SHA
Homework
- Размеры и прокрутка элемента
- Event Loop
- async | await
- API
- REST | HATEOAS
- status codes
JSON placeholder-
JSON server
fake chat
Homework
- strict mode
- Вычисляемые имена свойств
- Краткий синтаксис методов
- Краткий литерал объекта
- Классы
Homework
- :not(:defined)
- Shadow DOM
- Custom elements
- Lifecycle hooks
- whenDefined
- <template>
- slot
1
2
3
Homework
- npm
- webpack
Упражнение 1- ES6 модули
Упражнение 2- --mode | --watch
Упражнение 3
Упражнение 4
Упражнение 5
Упражнение 6
Упражнение 7
Упражнение 8
Homework
| ⏫ |
|---|

Дополнительно
Справочная инфо
Git Bush
TCP/IP
Коды символов