uniapp微信公众号使用iframe组件时报错{“result”:“csrf error”}

于 2024-02-20 09:48:23 发布
阅读量1.7k 收藏 5
点赞数 6
CC 4.0 BY-SA版权
文章标签: uni-app csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73610394/article/details/136029264
作者在开发uniapp微信公众号项目时,尝试集成WPS在线预览功能,遇到了Web-View组件的CSRF错误。文章解释了CSRF的概念,指出攻击原理并描述了解决方案——后端设置白名单以允许测试地址访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本人在做uniapp微信公众号项目时,需求是做wps在线预览功能,需要访问一个线上地址,我使用iframe组件,web-view组件报'result':'csrf error' 出现如下报错:{“result”:“csrf error”}

<!-- 建立pdf预览窗口 -->
<view class="content-pdf" v-if="noticeData" v-for="(item, index) in noticeData" :key="item.fileId" >
	<view v-if="item.type == 'pdf'" >
	  <web-view style="margin-top: 10rpx;width: 100%;height: 1050rpx;" 
	  :src="item.fileDownloadUrl" :fullscreen='false'></web-view>
	</view> 
    </view>

1.什么是CSRF

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

CSRF可以做什么:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发消息,转账,盗取你的账号。

2.要完成一次CSRF攻击,受害者必须依次完成两个步骤:

1.登录受信任网站A,并在本地生成Cookie。

2.在不登出A的情况下,访问危险网站B。

3.解决我遇到的问题

wps在线预览功能有安全策略限制,阻止了我的访问

所以我在本地测试时报错{“result”:“csrf error”}

解决方法为:后端给我的测试地址设置白名单,可以成功访问

【软件开发规范四】《应用系统安全编码规范》
商务合作|问题讨论|交流学习 请联系作者微信,加微信请务必注明来意,博客主页有联系方式
07-18 1177
为落实《信息安全策略》的要求,有效加强应用系统安全管理,提升应用系统安全编码能力,指导开发团队有效进行应用系统安全编码,特制定本规范。
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1222
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
csrf验证问题 -- 不同域名下Iframe嵌套Cookie失效导致csrf验证失败
qq_43539962的博客
10-11 2571
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,主要用于防止CSRF攻击和用户追踪。cookie的SameSite属性用来限制第三方Cookie,从而减少安全风险(防止CSRF)。在Chrome80之前默认None,在Chrome80之后,由于SameSite默认值是Lax。从上图可以看出,SameSite从None改成了Lax后,Form, Iframe, Ajax和Image中跨站的请求受到的影响最大。
禁止访问 (403) CSRF验证失败. 请求被中断.————错误处理(测试接口遇到的问题)
Kinght_123的博客
01-06 3325
问题描述 解决措施 在Header参数中添加Content-Type和X-CSRFToken信息,这样就不会报错了。 运行结果
CSRF漏洞
2ed
06-13 1631
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,...
解决:禁止访问 (403) CSRF验证失败
lyw5200的博客
10-27 6039
在测试Django框架POST请求方式,程序报错如下 在确保访问安全的情况下有一下两种方式: 1、在相应html文件form代码块中添加如下代码: <form method="post" action="/method_show/"> {% csrf_token %} <!-- 改行代码为添加部分 --> <input type="submit" value="post方式"> </form> 但是仅仅添加这句代码,...
CSRF错误(lesson45)
bluewater的专栏
11-13 1182
lesson45第9:48min Forbidden(403) CSRF verification failed. Request aborted. Help Reason given for failure: CSRF token missing or incorrect. In general, this can occur when there is a g...
CORS处理跨域的一些小心得
weixin_34192816的博客
01-02 194
经常在工作中遇到一些跨域的问题,最近用angularJS写一个后台系统,就遇到了一些跨域的问题,在这里分享下顺便记录下.部分内容引用的阮哥哥的文章,仅仅是为了方便学习 浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。 只要同满足以下两大条件,就属于简单请求。 (1) 请求方法是以下三种方法之一: ...
CSRF Security Error
06-21 509
java.lang.SecurityException: CSRF Security Error dwrinvoker uk.ltd.getahead.dwr.DWRServlet debug true crossDomainSessionSecurity false allowScriptTagRemoting true
使用浏览器作为代理从公网攻击内网
neal1991的专栏
04-15 2008
介绍在Forcepoint,我们不断寻求改善我们产品所提供的防护。为此,我们经常研究不寻常或潜在新颖的攻击技术。最近的一个研究课题是从公网发起的针对localhost...
前端技术栈分析】:派单O2O小程序的构建与优化
![【前端技术栈分析】:派单O2O小程序的构建与优化]... # 摘要 随着移动互联网的发展,O2O(线上到线下)小程序成为连接用户与线下服务的重要桥梁。本文旨在全面介绍O2O小程序的前端技术,从开发环
前端知识宝典
最新发布
qq_37759901的博客
01-29 1682
搜索框输入,文本剪辑器实保存代码实现思路如下:(利用定器,每次触发先清掉以前的定器,从新开始)
DWR弹出CSRF Security Error
qq_36866708的博客
08-26 297
tomcat6不报错,但是用tomcat8以上就提示“CSRF Security Error”,修改了dwr的版本,把3.0.0.116.rc1改成了3.0.rc3,问题解决。
CSRF漏洞总结
m0_62805300的博客
07-08 1028
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站
DWR 弹出 "CSRF Security Error"
热门推荐
皮皮的专栏
03-21 1万+
打开浏览器,然后输入"localhost",然后删除,然后输入"www.baidu.com".我勒个去的! ---xingyunpi 利用DWR实现无刷新动态提交,结果,配置到远程服务器上竟然出现了这样的错误,弹出了错误窗口,错误信息为 "CSRF Security Error" ,左查右查,终于知道为啥了... 一般tomcat6是没有这样的错误,换成tomcat7就会这样,听一个老外说
点击按钮弹出iframe_WEB安全(四) :CSRF与点击劫持
weixin_39531594的博客
12-10 834
跨站点请求伪造 CSRF是跨站点请求伪造,它的请求有两个关键点,跨站点的请求与请求是伪造的, 从字面上看,跨站点的请求来源应该是其他站点,比如,目标网站接收到来源网站的恶意操作,但是,只要是恶意操作,即使是同源,也可以算作请求伪造,因为此操作并不是用户的意愿场景 当有两个网站A和B的候,目标A网站有一个删除文章的功能,当我们请求的url为www.a.com/blog/del?id=...
CSRF Security Error解决办法
wuliangji_1的博客
01-21 2840
修改 web.xml 中 DWR 配置信息 在以下中加入加粗的部分 &lt;servlet&gt;         &lt;servlet-name&gt;dwr-invoker&lt;/servlet-name&gt;         &lt;servlet-class&gt;org.directwebremoting.spring.DwrSpringServlet&lt;/servlet-...
点击劫持 Framekiller--恶意frame导致CSRF攻击
buptisc_txy的专栏
02-20 2818
如果页面被恶意iframe后,可能导致csrf攻击。一般的解决方法如下: 当然,这些解决方法可能是有缺陷的,比如浏览器没有开启执行JS,或者有缺陷等。 IE 8可以通过设置下面的HTTP Header: 点击劫持 (Clickjacking) 防御: 某些黑客会尝试诱骗用户去单击一些看起来像是执行安全或无害功能的按钮,但执行的却是不相关的任务。 点击劫持者 (Clickjacker) 通过使用透明框架,将特定的 UI 元素用令人误解的文本和图像加以覆盖,从而将恶意代码或伪装代码 (Redress
CSRF漏洞详解,一文看懂CSRF
发哥微课堂
06-12 6087
0x00:CSRF 简述 CSRF(Cross Site Request Forgery,跨站请求伪造),字面理解意思就是在别的站点伪造了一个请求。专业术语来说就是在受害者访问一个网站,其 Cookie 还没有过期的情况下,攻击者伪造一个链接地址发送受害者并欺骗让其点击,从而形成 CSRF 攻击。 0x01:CSRF 案例 受害者 (A) 登录了某个银行给朋友 (B) 转账,其转账操作发送...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Joe556

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值