开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

使用PUT或DELETE方法可以实现CSRF吗？

使用PUT或DELETE方法可以实现CSRF吗？

是的，使用PUT或DELETE方法同样可以实现CSRF（跨站请求伪造）攻击。CSRF是一种网络攻击手段，攻击者通过伪造用户身份，利用用户的权限在目标网站上执行非法操作。PUT和DELETE方法与GET和POST方法类似，都可以用于发送HTTP请求。因此，攻击者可以利用这些方法来实现跨站请求伪造攻击。

然而，在实际应用中，PUT和DELETE方法通常用于处理资源的更新和删除操作，而不是用于实现CSRF攻击。这是因为，PUT和DELETE方法通常需要更多的权限和验证，而且这些方法的使用场景相对较少。因此，在实现CSRF防御时，除了关注GET和POST方法外，也需要关注PUT和DELETE方法的安全性。

为了防止CSRF攻击，开发者可以采取一些措施，例如：

使用CSRF令牌：在用户提交表单时，添加一个随机生成的CSRF令牌，并将该令牌存储在服务器端。当用户提交表单时，服务器会验证令牌的有效性。
验证HTTP Referer：检查HTTP请求的Referer头部信息，确保请求来自于可信任的来源。
双重cookie验证：在服务器端设置两个cookie，一个存储在用户浏览器中，另一个存储在服务器端。当用户提交表单时，服务器会验证这两个cookie是否匹配。
同源策略：确保网站只允许来自同一来源的请求。
使用安全的HTTP头部：使用X-XSRF-TOKEN、X-Frame-Options、Content-Security-Policy等安全头部来保护网站免受CSRF攻击。

总之，虽然使用PUT或DELETE方法可以实现CSRF攻击，但这并不是最佳实践。开发者应该关注所有HTTP方法的安全性，并采取适当的防御措施来保护网站免受CSRF攻击。

相关搜索:DriverKit驱动中可以使用`new`和`delete`吗？Mypy:有什么方法可以实现'SelfType‘TypeVar吗？仅仅因为PUT和DELETE HTTP方法的幂等性属性，它们就是必不可少的吗？使用AppsScript实现Dropbox API中的delete_batch方法使用put方法可以获得同步响应吗？可以使用regex或其他方法转换到postgresql吗？后台有条件的更新/删除单据。我应该吗？是否分配PUT、POST或DELETE http方法？在Laravel表单中使用PUT和DELETE方法时的MethodNotAllowedHttpException 在Web Api中使用Put或Delete方法时，有什么方法可以避免405方法不允许的错误？在Xodus中put和delete都可以是事务吗？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Laravel 表单方法伪造与 CSRF 攻击防护

有时候，我们可能需要手动定义发送表单数据所使用的 HTTP 请求方式，而 HTML 表单仅支持 GET 和 POST 两种方式，如果要使用其他的方式，则需要自己来定义实现。

04

SpringSecurity 403 forbidden

springboot项目，涉及跨域，跨域问题解决后，整合权限SpringSecurity。遇到问题：get请求可以正常通过；post请求的OPTIONS请求可以通过，但是post请求403 forbidden 报错。

02

spring security CSRF防护

CSRF是指跨站请求伪造（Cross-site request forgery），是web常见的攻击之一。从Spring Security 4.0开始，默认情况下会启用CSRF保护，以防止CSRF攻击应用程序，Spring Security CSRF会针对PATCH，POST，PUT和DELETE方法进行防护。我这边是spring boot项目，在启用了@EnableWebSecurity注解后，csrf保护就自动生效了。所以在默认配置下，即便已经登录了，页面中发起PATCH，POST，PUT和DELETE请求依然会被拒绝，并返回403，需要在请求接口的时候加入csrfToken才行。如果你使用了freemarker之类的模板引擎或者jsp，针对表单提交，可以在表单中增加如下隐藏域：

02

Laravel5.3+框架定义API路径取消CSRF保护方法详解

从Laravel 5.3+开始，API路径被放入了routes/api.php中。我们绝大多数的路径其实都会在web.php中定义，因为在web.php中定义的路径默认有CSRF保护，而API路径默认没有CSRF保护。在Laravel官网文档中写到：/p

04

XSS、CSRF/XSRF、CORS介绍「建议收藏」

XSS，即：Cross Site Script，中译是跨站脚本攻击；其原本缩写是 CSS，但为了和网站前端技术领域——层叠样式表(Cascading Style Sheet)有所区分，因而在安全领域叫做 XSS。

02

koa2实现网站csrf防御

先说常见的登陆鉴权：用户在你的网站登陆后，一般把登陆凭证（token）存储在cookie里，之后每次调接口都会自动携带，后端根据这条cookie鉴权，判定是登陆状态，进而允许进行安全操作。

02

laravel框架中表单请求类型和CSRF防护实例分析

本文实例讲述了laravel框架中表单请求类型和CSRF防护。分享给大家供大家参考，具体如下：

02

Spring Security---跨域访问和跨站攻击问题详解

说到跨域访问，必须先解释一个名词：同源策略。所谓同源策略就是在浏览器端出于安全考量，向服务端发起请求必须满足：协议相同、Host(ip)相同、端口相同的条件，否则访问将被禁止，该访问也就被称为跨域访问。

01

Django实战-csrf_token 跨站请求

Django网络应用开发的5项基础核心技术包括模型（Model）的设计，URL 的设计与配置，View（视图）的编写，Template（模板）的设计和Form(表单)的使用。

03

Django DeleteView without confirmation template, but with CSRF attack

Django的Class based view十分好用，也很灵活。其中DeleteView（ https://docs.djangoproject.com/en/1.10/ref/class-based-views/generic-editing/#django.views.generic.edit.DeleteView ）有点特别蛋疼的，他理想的流程是这样：点击删除 -> 跳转到确认页面 -> 点击确认删除 -> 删除对象 -> 跳转到success_url。

01

Laravel VerifyCsrfToken 报错解决

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/u011415782/article/details/77676632

02

django-rest_framework api框架学习day1

今天开始了django-rest-framework的学习 *** 其实api写起来的话要比前后端一起写要简单很多，因为你不需要关心前端怎么写，主要心思放在后端上面即可，前端的话随便找个模板，然后用vue语法嵌套上去就好了，一样可以做到很好看，实现了前后端的分离，非常的nice，开始学习之路了！加油奥利给 *** 首先需要安装rest-framework *** pip install framework *** 接着在setting-installed-apps中注册 *** INSTALLED_APPS = [ ‘django.contrib.admin’, ‘django.contrib.auth’, ‘django.contrib.contenttypes’, ‘django.contrib.sessions’, ‘django.contrib.messages’, ‘django.contrib.staticfiles’, ‘testAPI.apps.TestapiConfig’, ‘rest_framework’, ‘ajax’, ] *** 注册完成之后路由上的写法也有些不同， URL中 *** from django.urls import path from . import views from .views import Order app_name=’testAPI’ urlpatterns=[ path(”,Order.as_view()),

04

Django获取HTTP请求体数据

请求体的数据格式是多种多样的，可以是表单类型字符串，可以是JSON字符串，可以是XML字符串。

02

django 取消csrf限制的实例

补充知识：Django 前后端分离跨域AJAX获取csrftoken及获取cookie时遇到的问题

01

网络安全之【XSS和XSRF攻击】

XSS又称CSS，全称Cross SiteScript，跨站脚本攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当其它用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie、破坏页面结构、重定向到其它网站等。

03

如何使用lazyCSRF在Burp Suite上生成强大的CSRF PoC

lazyCSRF是一款功能强大的Burp Suite插件，该工具可以帮助广大研究人员生成功能强大的CSRF（跨站请求伪造） PoC。Burp Suite是一个拦截HTTP代理，是执行Web应用程序安全测试的强大工具。

02

Laravel踩坑日记之路由配置

Laravel 可以轻松使地保护你的应用程序免受 cross-site request forgery (CSRF)攻击，跨站点请求伪造是一种恶意攻击，它凭借已通过身份验证的用户身份来运行未经过授权的命令。

02

总结 XSS 与 CSRF 两种跨站攻击

作者：Jiangge Zhang 来源：https://blog.tonyseek.com/post/introduce-to-xss-and-csrf/（点击文末阅读原文前往）那个年代，大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用，于是 SQL 注入成了很流行的攻击方式。在这个年代，参数化查询已经成了普遍用法，我们已经离 SQL 注入很远了。但是，历史同样悠久的 XSS 和 CSRF 却没有远离我们。由于之前已经对 XSS 很熟悉了，所以我对用户输入的数据一直非常小心。如果输入的时候没有

08

揭开DRF序列化技术的神秘面纱

在RESTful API中，接口返回的是JSON，JSON的内容对应的是数据库中的数据，DRF是通过序列化（Serialization）的技术，把数据模型转换为JSON的，反之，叫做反序列化（deserialization）。本文就来揭开DRF序列化技术的神秘面纱。

02

【安全】899- 前端安全之同源策略、CSRF 和 CORS

你之所以会遇到跨域问题，正是因为 SOP 的各种限制。但是具体来说限制了什么呢？

01

python-Django 高级特性-Django 安全（一）

Django 是一个重视安全的 Web 框架，它内置了许多安全特性和机制来保护 Web 应用程序免受各种攻击。

03

SpringBoot学习五：错误处理、跨域支持

Spring Boot默认提供一个/error映射用来以合适的方式处理所有的错误，并将它注册为servlet容器中全局的错误页面。当出现一个错误信息时，会产生一个具有详细错误、HTTP状态，异常信息的JSON相应。具体到页面上，会产生一个错误视图。

03

使用Laravel中的查询构造器实现增删改查功能

上一篇介绍了如何在windows环境下跑一个 laravel 项目，这一篇写如何使用 laravel 中的查询构造器实现增删改查。

03

laravel post提交数据时显示异常

这是由于在laravel框架中有此要求：任何指向 web 中 POST, PUT 或 DELETE 路由的 HTML 表单请求都应该包含一个 CSRF 令牌，否则，这个请求将会被拒绝。

02

node egg 实现跨域

最近在做node项目，需要提供接口给不同域名的功能使用，于是就产生了跨域问题。下面说一下解决方法：步骤一：# 下载 egg-cors npm i egg-cors --save

01

【全栈修炼】414- CORS和CSRF修炼宝典

核心知识： CORS是一个W3C标准，它允许浏览器向跨源服务器，发出XMLHttpRequest 请求，从而克服 AJAX 只能同源使用的限制。

04

十个书写Node.js REST API的最佳实践（上）

原文：10 Best Practices for Writing Node.js REST APIs 我们会通过本文介绍下书写Node.js REST API的最佳实践，包括各个主题，像是命名路由、认

00

用HTTP请求重写实现JSON CSRF

在该篇Writeup中，介绍了作者在某漏洞测试项目中发现JSON类型跨站请求伪造漏洞（Cross-Site Request Forgery,CSRF）的过程。

01

Laravel CSRF 保护

跨站点请求伪造（英语：Cross-site request forgery）是一种恶意利用，利用这种手段，代表经过身份验证的用户执行未经授权的命令。值得庆幸的是，Laravel 可以轻松保护您的应用程序免受跨站点请求伪造（CSRF）攻击。

02

Chrome 重大更新，CORS 增加了两个新的请求头？

能问出这俩问题，一定没好好看我的公众号，其实之前在多篇文章里都提到过相关的策略解读，

02

密码学系列之:csrf跨站点请求伪造

CSRF的全称是Cross-site request forgery跨站点请求伪造，也称为一键攻击或会话劫持，它是对网站的一种恶意利用，主要利用的是已授权用户对于站点的信任，无辜的最终用户被攻击者诱骗提交了他们不希望的Web请求。恶意网站可以通过多种方式来发送此类命令。例如，特制的图像标签，隐藏的表单和JavaScript XMLHttpRequests都可以在用户不交互甚至不知情的情况下工作。

02

ASP.NET Core XSRF/CSRF攻击

跨站请求伪造（CSRF）是针对Web应用攻击常用的一种手段，恶意的Web应用可以影响客户端浏览器与信任该浏览器的Web 应用之间的交互，因为 Web 浏览器会在向网站发送每个请求时自动发送某些类型的身份验证令牌。这种利用形式也被称为one-click attack或者session riding，因为攻击利用了用户之前经过身份验证的会话。跨站请求伪造也被称为 XSRF 或 CSRF

01

【全栈修炼】CORS和CSRF修炼宝典

1. [《【全栈修炼】OAuth2修炼宝典》](https://juejin.im/post/5db90c0ae51d452a17370626)

00

跨域的常见问题和解决方案

No 'Access-Control-Allow-Origin' header is present on the requested resource The response had HTTP status code 405

03

跨域问题

同源策略是一种约定。同源是指”协议+域名+端口”三者相同，就算两个不同的域名指向同一个ip地址，也不属于同源。

02

ASP.NET Core通过jQuery Ajax发送AntiForgeryToken

在ASP.NET Core中，如我我们希望用jQuery Ajax向服务器提交数据，并希望使用ValidateAntiForgeryToken标记，我们需要一些技巧。官方文档并没有说如何使用jQuery完成这个操作，我来演示给大家看看。

02

Spring Security 下

该注解下，虽然权限不足仍然无法进入页面或者返回信息，但是可以先运行方法体中的内容，再校验

03

3分钟短文：Laravel请求对象方法极多，可不是花拳绣腿

web服务无外乎两点，一个是请求，一个是相应。中间经过一系列的处理，我们是为一个sandbox。无论是请求Request，还是响应Response，每个框架都会浓墨重彩地进行深度设计。

02

谈谈Json格式下的CSRF攻击

csrf漏洞的成因就是网站的cookie在浏览器中不会过期，只要不关闭浏览器或者退出登录，那以后只要是访问这个网站，都会默认你已经登录的状态。而在这个期间，攻击者发送了构造好的csrf脚本或包含csrf脚本的链接，可能会执行一些用户不想做的功能（比如是添加账号等）。这个操作不是用户真正想要执行的。

03

SpringSecurity 跨域

浏览器出于安全的考虑，使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略，否则就是跨域的HTTP请求，默认情况下是被禁止的。同源策略要求源相同才能正常进行通信，即协议、域名、端口号都完全一致。

01

Golang 跨域

跨域指的是浏览器不能执行其他网站或域名下的脚本。之所以形成跨域，是因为浏览器的同源策略造成的，是浏览器对javascript程序做的安全限制，现在所有支持JavaScript 的浏览器都会使用这个策略。

04

【第八篇】SpringSecurity核心过滤器-CsrfFilter

Spring Security除了认证授权外功能外，还提供了安全防护功能。本文我们来介绍下SpringSecurity中是如何阻止CSRF攻击的。

03

常见web攻击

常见web攻击：https://www.cnblogs.com/morethink/p/8734103.html 搞Web开发离不开安全这个话题，确保网站或者网页应用的安全性，是每个开发人员都应该了解的事。本篇主要简单介绍在Web领域几种常见的攻击手段及Java Web中的预防方式。

02

PHP解决跨域问题

浏览器的同源策略，就是出于安全考虑，浏览器会限制从脚本发起的跨域HTTP请求。解决办法：

01

Django后端允许跨域

Django项目settings设置在安装完成后需要进行一些settings的设置：

02

Kali Linux Web渗透测试手册(第二版) - 9.4 - 绕过web服务器的CORS限制

跨源资源共享(Cross-OriginResource Sharing, CORS)是在服务器端配置的一组策略，它告诉浏览器服务器是否允许在外部站点(跨源请求)上使用脚本代码生成的请求，以及来自哪个站点，或者它是否只接受在自己托管的页面中生成的请求(同源)。正确配置的CORS策略可以帮助防止跨站请求伪造攻击，尽管它还不够，但它可以阻止一些攻击。

02

用django写接口（入门篇）

博客：https://www.jianshu.com/u/9fcd71535294

03

Spring Cloud Security的核心组件-Cloud Security Filter示例

下面我们来看一个完整的Cloud Security Filter示例。这个示例是一个简单的RESTful API，允许用户创建、读取、更新和删除用户信息。我们使用了基于HTTP Basic认证的安全性保障。

03

『Django』视图views

上一篇《『Django』路由urls》中介绍了 Django 路由的用法，当时提到路由和视图其实是密不可分的合作伙伴。路由有点像饭店的服务员，引导顾客到指定的饭桌，然后根据顾客需求向厨房下单，厨师经过一番处理后，把煮好的菜传给顾客吃。这个厨师就是本文要介绍的『视图』。

01

Springboot整合Security

注意：springboot2.0.9版本以后的不支持security标签，我们需要下降版本才能看到效果

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭