小白也能征服CSRF

最新推荐文章于 2024-07-20 23:40:01 发布
最新推荐文章于 2024-07-20 23:40:01 发布
阅读量396 收藏
点赞数
分类专栏: Web-Security Web-Security 文章标签: csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AndyNikolas/article/details/79230204
版权
  • 英文:Cross Site Request Forgy
  • 中文:跨站请求伪造
  • 攻击者在其他的网站对目标网站产生了影响
CSRF攻击危害


  • 利用用户登录态
  • 用户不知情
  • 完成业务请求
  • 盗取用户资金(转账,消费)

就算警察寻找是谁,也只能找到用户,找不到攻击者,因为攻击者用的ip和cookie都是用户的。

CSRF攻击防御

csrf防御核心思想就是利用攻击者不会访问目标网站的前端,只会去访问目标网站的后端,所以如果在目标网站的前端增加验证信息,那就会有效防御csrf攻击,因为csrf无法获取这个验证信息,也就无法得到后端的正确响应。

第一种方法

禁止第三方网站携带cookie

在cookie中加一个same-site属性 但是兼容性很差,只有很少的浏览器兼容。

第二种方法

在前端页面加入验证信息,比如:
1. 验证码
2. 加入token

验证码

这需要前后端协同
1:前端加入验证码输入框。
2:后端为前端提供这个验证码,并且在提交的时候进行验证,还有后端还要记住这个验证码是什么,也就是保存下来,以便有第三方进行csrf攻击时进行判断。
node.js开发后端的话,有ccap这个插件可以用,它可以生成图形验证码。

这个可以有效防御csrf,但是每次都要让用户输入验证码进行验证,降低了用户体验。而且前端提交后,后端还要再校验一下验证码对不对。

token

token就是一个随机字符串,放在前端的请求内容中,也可以放在cookie中。

token生成机制:

// 后端要做的事情
// 随机生成token
var csrfToken = parseInt(Math.random() * 9999999, 10);

// 后端生成token并且保存在cookie中
ctx.cookies.set('csrfToken', csrfToken);


// 前端要做的事情
// 放置一个表单,不会显示出来,设置隐藏
<input name="csrfToken" value=csrfToken><input>
然后在相应的动作里进行判断: 
function action(req, res){
    var data;
    if(req.method.toLowerCase() === 'post'){
      data = req.body;
    }else{
        data = req.query;
    }
    if(!data.crsfToken){
        throw new('csrf token is null');
    }else if(data.csrfToken !== req.cookies.get('csrfToken')){
        throw new('csrfToken 错误');
    }
}

使用token需要注意的地方

  • 如果是通过表单提交,则可以直接将token值放在表单里面提交。
  • 如果是ajax请求,则一般是通过将token放在页面的另外一个地方,比如放在meta中。
meta{name="csrf_token", content=csrfToken}

刷新后,在页面的head中多了一个meta,在ajax请求之前,就可以通过js把这个meta中的toke值取出来,一并发到后台去。

注意:

如果用户打开了很多页面或者很多提交表单,每个页面和表单都是对应不同的token,因为cookies里面只能放置一个token,用户提交只能是提交最后一个页面的token或者是最后一个表单的token,所以这个问题也比较特殊,如何处理。需要思考。

CSRF中的referer

referer是http协议中的一个请求头,来自攻击网站。所以还有一个防御方式:验证referer,禁止来自第三方网站的请求。

// 在相应的动作里
function action(req, res){
    var data;
    if(req.method.toLowerCase() === 'post'){
      data = req.body;
    }else{
        data = req.query;
    }
    var referer = res.headers.referer;
    // 通过使用indexOf判断
    if(referer indexOf('localhost') === '-1'){
        throw new('请求非法');
    }

    // 更好的做法是下面这个,因为referer是http://整个url地址,如果url其他部分有localhost,上面的表达式也可以被匹配到
    if(!/^http:\/\/localhost/.test(referer)){
        throw new('请求非法');
    }
}

这里面有几个注意的点:

  • 从本地磁盘访问,没有refere,因为是同域,可以将ftp改成http形式,比如http://127.0.0.1/
  • 通过http访问,有referer。

以上就是我个人对CSRF的理解,前端领域的Web安全所涉及到的内容是很多的,要多去学习和实践,才能更好的写出安全又没有漏洞的代码。

杨不败
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Django的CSRF认证实现
09-20
另外,对于使用Ajax的POST请求,也需要确保在请求头中携带CSRF token,例如设置为`X-CSRFToken`。 总的来说,Django的CSRF认证实现是其安全性的重要组成部分,有效地防止了恶意的跨站请求,保护了用户的数据安全。...
csrf绕过Referer技巧-01
09-15
CSRF绕过Referer技巧详解 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者可以通过构造恶意页面诱骗用户执行非法操作。为了防御CSRF攻击,Web开发者通常会使用Referer头来判断...
CSRF攻击
xiaoming
09-27 191
CSRF攻击产生的原因 (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用也就是人们所知道的钓鱼网站。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方...
CSRF漏洞(初步理解)
qq_43814486的博客
05-09 667
概念 Cross-site request forgery简称“CSRF”(跨站请求伪造)也被称为one-click attack 或者 session riding。 攻击思路 以淘宝为例,目的修改密码。 打开自己的淘宝,进入修改密码的页面,填写完信息后发送请求,然后把这个URL用抓包的方式获取下来,然后发送给对方。 成功的条件: 1.对方已经打开淘宝。 2.对方点击你的连接。 只要点击了这个...
适合新手小白学习的web前端学习路线图
程序员日常
11-27 2680
Web前端是一个入行门槛较低的开发技术,但更是近几年热门的职业,web前端不仅薪资高发展前景好,是很多年轻人向往的一个职业,想学习web前端,那么你得找到好的学习方法,以下就给大家分享一份适合新手小白学习的web前端学习路线图。 web前端学习线路图 学习阶段 学习内容 知识点细化 可达成学习效果 配套视频教程 第一阶段 (4周) 前端页面重构 ...
征服Spring Boot 阿里程序员推荐的这份全家桶系列笔记,透彻,必须死磕!
afsdfrsg的博客
04-21 785
针对最近很多人都在面试,我这边也整理了相当多的面试专题资料,也有其他大厂的面经。希望可以帮助到大家。最新整理面试题上述的面试题答案都整理成文档笔记。也还整理了一些面试资料&最新2021收集的一些大厂的面试真题最新整理电子书最新整理大厂面试文档以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取![外链图片转存中…(img-W22mAyQU-1713680691428)]
区区一个SpringBoot问题就干趴下了?我却凭着这套“神级PDF文档”吊打面试官-
2401_84425132的博客
04-18 784
我们总是喜欢瞻仰大厂的大神们,但实际上大神也不过凡人,与菜鸟程序员相比,也就多花了几分心思,如果你再不努力,差距也只会越来越大。面试题多多少少对于你接下来所要做的事肯定有点帮助,但我更希望你能透过面试题去总结自己的不足,以提高自己核心技术竞争力。每一次面试经历都是对你技术的扫盲,面试后的复盘总结效果是极好的!网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化的资料的朋友,可以添加V获取:vip1024b (备注Java)
Web应用开发基础
2301_76541246的博客
12-23 970
对于web前端学习小白来说,html+css基础尤为重要,可以说是编程小白的必经之路,学完后能写出你看到的静态页面。1)PC端网站布局包含知识点: HTML基础,CSS基础,CSS核心属性;CSS样式层叠,继承,盒模型;容器,溢出及元素类型;浏览器兼容与宽高自适应……2)HTML5+CSS3基础包含知识点: HTML5新增的元素与属性;表单域增强元素;CSS3选择器;文字字体相关样式;CSS3位移与变形处理……3)WebApp页面布局包含知识点: 移动端页面设计规范;移动端切图;
Web框架——Flask系列之综合案例——图书管理系统(十)
zep
05-31 3457
一、知识点: 表单创建 数据库操作 一对多关系演练 二、实现步骤: 创建数据库配置信息,定义模型类 创建数据库表,添加测试数据 编写html页面,展示数据 添加数据 删除书籍,删除作者 三、创建数据库连接信息,定义模型 from flask import Flask, render_template, redirect, url_for, flash, request from flask_sqlalchemy import SQLAlchemy from flask_wtf.csrf import
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
django 取消csrf限制的实例
09-17
这样,即使在跨域的情况下,前端也能通过设置Header来实现CSRF Token的传递,从而确保安全性。 总结来说,Django中取消CSRF限制可以通过`csrf_exempt`装饰器实现,但通常这不是最佳实践,因为会降低安全性。在前后...
Bolt:CSRF扫描仪-源码
05-25
如果您对此仓库感兴趣,我也建议您将它放在监视中。工作流程爬行Bolt将目标网站爬网到指定的深度,并将找到的所有HTML表单存储在数据库中以进行进一步处理。评估在此阶段,Bolt找出不够强大的令牌和不受保护的形式...
CSRF(Cross-site request forgery)
最新发布
fencecat的博客
07-20 507
CSRF是一个web安全漏洞,该漏洞通过引诱用户来执行非预期的操作。该漏洞使得攻击者能够绕过同源策略,同源策略是一种用来阻止不同网站相互干扰的一种技术。 CSR跨站请求伪造,攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行受害者不知情的请求。在CSRF攻击场景中,攻击者会伪造一个请求(一般为链接),然后欺骗用户进行点击,用户一旦点击,整个攻击也就完成了。所以CSRF攻击也被称为”one click"攻击。
CSRF+XSS组合攻击实战
记录学习
07-19 1056
xss和csrf组合攻击漏洞复现
CSRF防御及模拟CSRF攻击
qq_37550440的博客
07-19 775
防御csrf攻击方式 CSRF Token则是为了防止跨站请求伪造攻击而设计的。在CSRF攻击中,攻击者试图诱使已登录的用户在不知情的情况下执行恶意操作,例如转账或改变账户设置。CSRF Token是一种额外的安全措施,用来确认发起请求的页面是可信任的源。
前端面试题日常练-day97 【Less】
qq_44640575的博客
07-20 285
border-radius()函数用于在Less中生成圆形边框效果。通过设置border-radius()函数,我们可以为元素的边框添加圆角效果,使边框呈现圆形的外观,从而美化页面元素的边框样式。
TinyVue v3.17.0 正式发布,推出了一款基于 Quill 2.0 的富文本编辑器,功能强大、开箱即用!
OpenTiny的博客
07-17 1053
本文由体验技术团队Kagol老师原创~我们非常高兴地宣布,2024年6月26日,TinyVue 发布了 v3.17.0 🎉。TinyVue 每次大版本发布,都会给大家带来一些实用的新特性,上一个版本我们重构了 chart-core,新增 CircleProcessChart 圆环进度图等6个新的图表组件,并增加了 Statistic 数据统计组件。表格图片超链接复制粘贴插入表情文件上传@提醒斜杆菜单v-auto-tip。
谷粒商城实战笔记-39-前端基础-Vue-指令-v-on、v-for、v-if
epitomizelu的专栏
07-20 527
v-on 是 Vue.js 中的一个指令,用于在 DOM 元素上监听用户事件,并在事件触发时执行相应的 JavaScript 函数。它提供了一种将 Vue 实例中的方法与 DOM 事件关联起来的方式,使得你可以轻松地对用户交互做出响应。v-on 指令的基本语法是在元素上添加 v-on:event-name=“method”,其中 event-name 是你要监听的 DOM 事件类型(如 click、mouseover、keydown 等),method 则是 Vue 实例中定义的方法名。
token 能预防csrf
06-07
是的,token 可以用于预防 CSRF(跨站请求伪造)攻击。在使用 token 的情况下,服务器会在发送表单页面时生成一个随机的 token 值,并将其存储在服务器端。在表单提交时,服务器会验证该 token 值是否与之前生成的值...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值