jquery一些安全漏洞

1、jquery一些安全漏洞1.检查origin标头按照owasp的指定，这还不够，但建议：尽管从您自己的扫瞄器中哄骗任何标头很容易，但除非通过xss漏洞，否则在csrf袭击中通常是不行能的。这就是为什么检查标头是csrf防备中合理的第一步，但是因为它们并不总是存在，因此通常不能单独考虑将其视为足够的防备。origin标头被认为有助于防止json数据盗用和csrf袭击。origin提供的信息（一些上下文哀求创建信息）应向web服务器提供有关哀求可信度的提醒检查http_origin标题可以写成：header（&39;content-type: application/json&39

2、;）;if （isset（$_server&39;http_origin&39;） $address=&39;http:/&39; . $_server&39;server_name&39;if （strpos（$address, $_server&39;http_origin&39;） !=0） exit（json_encode（&39;error&39;=> &39;invalid origin header: &39; . $_server&39;http_origin&

3、39;）; else exit（json_encode（&39;error&39;=> &39;no origin header&39;）;1.（之二）检查referer标头假如没有origin头，请确认referer头中的主机名与站点的来源匹配。检查引荐是防止嵌入式网络设备上csrf的一种常用办法，由于它不需要每个用户状态。这种csrf缓解办法也常用于未经身份验证的哀求用法来检查，http_referer在php中也十分容易$_server&39;http_referer&39;，您可以用法来更新上面的代码。请务必 始终举行真正的检查：不

4、要只检查 或 _，而不要检查完整的_之 类的来源来哄骗此检查。2.生成csrf令牌简而言之，已经给出了一个特地针对php的说明清晰的答案：生成令牌：session_start（）;if （empty（$_session&39;csrf_token&39;） $_session&39;csrf_token&39;=bin2hex（random_bytes（32）;通过meta（例如github）将其添加到生成的视图中：设置jquery ajax调用以包含此令牌：$.ajaxsetup（headers : &39;csrftoken&39;: $（&

5、amp;39;metaname="csrf-token"&39;）。attr（&39;content&39;）;服务器端检查您的ajax哀求：session_start（）;if （empty（$_session&39;csrf_token&39;） $_session&39;csrf_token&39;=bin2hex（random_bytes（32）;header（&39;content-type: application/json&39;）;$headers=apache_request_headers（）;if （isset（$headers&39;csrftoken&39;） if （$headers&39;csrftoken&39; !=$_session&39;csrf_token&39;） exit（json_encode（&39;error&39;=> &39;wrong csrf token.&39;）; else exit（json_encode（&39;erro