防止CSRF跨域攻击

最新推荐文章于 2024-07-07 15:00:00 发布
最新推荐文章于 2024-07-07 15:00:00 发布
阅读量1.7k 收藏
点赞数
分类专栏: PHP开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaoxuaiguoyi/article/details/47131115
版权

CSRF主要是指有些人使用自动表单提交不停的请求你的网站,或者使用非法请求连接访问站点,防止这些攻击也比较容易就是在自己网站做一个token验证基本就防止了非法请求,正常清楚我们生成的唯一token进行行为验证,如果token通过则执行操作,否则就不通过,防止了无限请求刷自己网站的情况。

首先生成token存到session中:

index.php

                                           //生成一个密匙
					    function create_key()  
					    {  
					         $key = md5(((float) date("YmdHis") + rand(100,999)).rand(1000,9999));  
					        return $key;  
					    }  
					    //产生token
					    function create_token(){

					    		$key = create_key();
					    		$salt = 'MYKEY';
					    		$token = md5($salt.$key);
					    		return $token;

					    }

					    session_start();
					    $_SESSION['client_key'] = create_token();
					    $_SESSION['server_key'] = $_SESSION['client_key'];
					    header("Location:login.php");
login.php 

<!DOCTYPE html>
<html>
<head>
	<title>csrf测试</title>
</head>
<body>
<?php 
   session_start();
   $key = $_SESSION['client_key'];
  
?>
		<form action="dologin.php" method="post">
			用户名:<input name="name" type="text"/><br/>
			密码:<input name="pass" type="text"/><br/>
			<input  type="hidden" name="csrf" value="<?php echo $key; ?>" /><br/>
			<input type="submit"  value="提交" />
		</form>
		
		
</body>
</html>
dologin.php 

<?php 


		sleep(1);
		//print_r($_POST);
		extract($_POST);
		//判断key是否相等
		session_start();
		$server_key = $_SESSION['server_key'];
		//判断是否有csrf参数
		if (!array_key_exists('csrf', $_POST)) {
			
			die("未知请求");
		}
		else if($server_key != $csrf){

				die("参数错误");
		}else{

			
			die("正确请求业务逻辑处理");
		}
?>
这些代码只是简单的验证了一下token,实际开发中,token的生成可能规则不是这么简单,这样写就防止,不法分子使用自动表单来不停的对网站发送请求了,那个防刷新表单重复提交其实,原理都差不多,不太难理解,大家随意参考下吧。

测试结果:

非法请求:

带了csrf参数,但是token不正确:

正确请求:


一只勤奋的代码狗
关注
专栏目录
如何防止CSRF攻击?
ccyzq的博客
03-17 4356
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
跨域CSRF攻击
刘旭濠的博客
06-08 1956
作者:刘旭濠 跨域每个程序员都要掌握的一门知识,其实我一开始也不知道什么是跨域甚至是第一次听到好奇这是啥玩意(毕竟我还是小白一个)不过看了网上一堆资料虽然有点乱但是还是理解了一些,那么我来分享一下我的理解吧,那么什么是跨域跨域就是指浏览器不能执行其他网站脚本,是对浏览器对JavaScript加的安全限制,为什么要限制呢,那就是怕CSRF攻击,至于CSRF攻击是什么接下来也会讲到的。 那么我就这样...
配置Nginx实现简单御cc攻击
09-30
本文主要介绍lua+Nginx下如何快速有效得御CC攻击。至于如何安装Nginx就不详细介绍了,闲话少说,大家请看示例
PHP解决Xss跨域攻击以及sql注入等危险字符串方案类库
HAIFU_XU
03-13 3001
由于该模块在项目中的要求是 不能提示任何信息,也不作断点操作,只作记录并且过滤危险参数。 主要功能:拦截攻击者注入恶意代码,可以御诸如跨站脚本攻击(XSS)、SQL注入攻击等恶意攻击行为。 <?php /** * 安全模块 * 主要针对xss跨站攻击、sql注入等敏感字符串进行过滤 */ class safeMode{ /** * 执行过滤 * @
如何让Nginx变身网络安全卫士?对抗DDoS与CSRF的5步超强攻略
最新发布
java专栏
07-07 567
🔥关注墨瑾轩,带你探索编程的奥秘!🚀🔥超萌技术攻略,轻松晋级编程高手🚀🔥技术宝库已备好,就等你来挖掘🚀🔥订阅墨瑾轩,智趣学习不孤单🚀🔥即刻启航,编程之旅更有趣🚀嗨,各位小伙伴们!今天,我们要来一场超萌的安全大冒险,目标直指那个让无数网站头疼的捣蛋鬼——DDoS攻击,以及它的小伙伴HTTP请求伪造(简称CSRF)。想象一下,Nginx这位温文尔雅的服务器守护者,正穿着超人的披风,准备迎战这些不速之客。我们的任务,就是帮助Nginx打造一套超级护服,让它在互联网的大风大浪中也能稳如泰山。
XSRF 的攻击
dingbenji5337的博客
12-27 367
官方定义 CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而XSRF则通过伪装来自受信任用户的请求来利用...
利用AuthorizeAttribute属性简单避免 MVC 中的跨域攻击
Jaylon Wang的专栏
04-14 862
跨域攻击---自然来路页面和目标页面不在同一个域下,所以直接判断来路域和当前自己的域就可以了。 可以广泛应用于表单提交,ajax调用或者某些不想让用户直接输入网址看到的页面 [csharp] view plain copy using System;   using System.Collections.Generic;   using
说说 XSRF
weixin_34087301的博客
09-17 218
这是我在知乎的一个回答。原提问是如何在单页应用下进行 XSRF 护。 XSRF(CSRF) 攻击的原理是什么?就是攻击者能猜测出所有的需要提交的内容以及类型,所以所有的解决方案共同出发点就是加一个攻击者也不知道随机值发送给后端验证就可以范。 有很多解决方案,cookie-session,很不友好的所有表单都得填写验证码,还有一种很少...
CSRF(跨域请求伪造)和XSS(跨域脚本攻击)的概念和范措施
tscn1的博客
03-22 1053
这里写目录标题CSRF(跨域请求伪造)原理:御cookie的sameSite验证referer和Origin二次验证使用非cookie令牌XSS(跨域脚本攻击)存储型XSS反射型DOM型 CSRF(跨域请求伪造) 恶意网站以正常用户为媒介,通过模拟正常用户的操作,攻击其登录过的网站。 原理: 1. 正常用户登录后,获得正常站点的令牌,以cookie的形式保存。 2. 用户访问恶意站点,恶意站点通过某种形式去请求了正常网站,然后将用户的令牌传递到正常网站,完成攻击御 cookie的sameSite
CSRF跨域请求伪造)理解的很通透
weixin_46865273的博客
05-04 1145
声明:本篇文章来自:https://my.oschina.net/jasonultimate/blog/212554 一、什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。那么什么是跨站请求伪造呢?让我一个词一个词的解释: 1、跨站:顾名思义,就是从一个网站到另一个网站。 2、请求:即HTTP请求。 3、伪造:在这里可以理解为仿造、伪装。 综合起来的意思就是:从一个网站A中发起一个到网站B的请求,而这个请求是经过了伪装的,伪装操作达到的目的就是
在 ASP.NET Web API 中启用跨域请求,防止跨站点请求伪造 (CSRF) 攻击
NARUTONEPIECE的博客
08-19 489
ASP.NET Web API 中启用跨域请求, 防止 ASP.NET 应用程序中的跨站点请求伪造 (CSRF) 攻击
XSS跨域攻击在web项目中的范,基于antisamy技术
07-10
介绍了XSS跨域攻击在web项目中的范,基于antisamy技术。
java防止跨域攻击
hongwei3344661的博客
02-14 838
/**   * 验证请求的合法性,防止跨域攻击   *   * @param request   * @return   */   @SuppressWarnings("rawtypes")   publicstatic boolean validateRequest(HttpServletRequest request) {       String referer = ...
服务器安全:浏览器同源策略与跨域请求、XSS攻击原理及御策略、如何CSRF攻击
热门推荐
寒泉
05-10 6万+
主要包括 浏览器同源策略与跨域请求 XSS攻击原理及御策略 如何使用SpringSecurityCSRF攻击 CC/DDOS攻击与流量攻击 什么是SSL TLS HTTPS? 一、浏览器的同源策略 请求方式:HTTP,HTTPS,Socket等 HTTP请求特点:无状态。 想要保持状态的话,需要服务器下发token/cookie到浏览器,在服务器端存的是session 服务端与客户端要建立会话: 浏览器的同源策略 同源策略:当访问同一域名下的所有子URI时,不需要重新登录。 所谓的同源是指:1.
Java跨域攻击解决方案
零全零美
09-02 1466
思路: 判断referer里的地址是否和当前的地址一致,如果不一致则说明是跨域攻击的,否则不是   /** * 验证请求的合法性,防止跨域攻击 * * @param request * @return */ @SuppressWarnings("rawtypes") publicstatic boolean validateRequest(HttpServlet
java接口 跨域攻击_浅谈spring-boot 允许接口跨域并实现拦截(CORS)
weixin_30230059的博客
03-02 310
本文介绍了spring-boot 允许接口跨域并实现拦截(CORS),分享给大家,也给自己留个笔记pom.xml(依赖的jar)// 在spring-boot-starter-web的启动器中,已经依赖好了org.springframework.bootspring-boot-starter-webCORS跨域的配置(主要配置允许什么样的方法跨域)import org.springframewor...
java接口 跨域攻击_接口调用的安全性问题
weixin_39866774的博客
03-02 369
1.参数加密,h5加密,api接口解密2.签名算法验签,用户端服务端设计一个签名算法,进行校验3.针对登录用户,生成一个token,(ip+uid+时间戳),存在数据库,只在登录期间有效。配合Linux和数据库的权限管理可以外又内。ps:(token一段时间需要更新)4.接口返回尽量是json数据,不返回null,根据需求返回需要的数据。5.用时间戳和用户uid生成一个token,将接口请求过...
防止跨域攻击Java_XSS跨域脚本攻击 攻击——御 策略分析【转】
weixin_33812391的博客
03-01 668
摘要:一、概述< h2>①XSS 是什么< h3>跨站脚本攻击(XSS)是一种代码注入攻击攻击者利用它可以在其它用户浏览器中执行恶意 JavaS 一、概述①XSS 是什么跨站脚本攻击(XSS)是一种代码注入攻击攻击者利用它可以在其它用户浏览器中执行恶意 JavaScript。攻击者并不是直接面对受害者。而是,为了让网站替自己传输恶意 JavaScript,攻击者需...
如何防止CSRF攻击
风烟
01-30 4567
什么是CSRF CSRF(cross-site request forgery)跨站请求伪造:攻击者诱导受害者进去第三方网站,在第三方网站,向被攻击网站发送垮站请求,利用受害者在被攻击网站已经获取的登陆凭证。绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作。 一个典型的CSRF攻击有着如下的攻击流程: 受害者登陆a.com,并保留了登陆凭证(cookie) 攻击者引诱受害者访问了b.com b.com向a.com发送了一个请求: a.com/act=xxx。浏览器会默认携带a.com的cooki
csr防止跨域请求,跨域攻击
08-14
为了防止跨域攻击,应当使用CORS机制严格限制哪些域可以访问服务器,同时应当使用跨站请求伪造(CSRF)技术来防止攻击者伪造请求。 ### 回答2: CSR(Cross-Site Request)是一种安全机制,旨在防止跨域请求和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值