CSRF跨站请求伪造原理及解决方案 JsonWebToken使用方法

最新推荐文章于 2024-02-11 14:00:38 发布
最新推荐文章于 2024-02-11 14:00:38 发布
阅读量1.9k 收藏 5
点赞数 1
分类专栏: node.js 文章标签: 安全 jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Charissa2017/article/details/105183188
版权

什么是CSRF

CSRF(Cross-site request forgery)跨站请求伪造,跟XSS跨站脚本攻击一样,存在巨大的危害性。可以这样来理解 :

攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来讲,这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,而且你自己还不知道究竟是哪些操作。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。

CSRF攻击原理如下:

  1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
  2. 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
  3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
  4. 网站B返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
  5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。

来看一个例子:

比如你打开浏览器,正在访问A网站,登录了自己的账号,进行查看、编辑一些正常操作。如下图所示:
CSRF
此时,你打开了B网站,随意点了一个链接(这个链接相当于操作了上面网站中的删除按钮)。
CSRF
接下来发生了不可思义的一幕,明明只是点了B网站页面的一个链接,却对A网站的数据进行了操作。
CSRF
出现这种现象是因为,cookie在同一个浏览器窗口、不同TAB标签页,会被共享,也就是说,当你在同一个浏览器窗口(不管是不是同一个网站)向同一个服务器发送请求时,cookie都会被自动传到服务器。黑客完全可以在不知道你的 cookie 的情况下利用浏览器自动发送的 cookie 通过服务器的安全验证。

要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不能存在于 cookie 之中。

**解决思路:**在用户登录成功后,返回一个随机token给浏览器,当每次用户发送请求的时候,将token 主动发送给服务器端(为了安全,不建议将token以参数的形式传给服务器,可以将token存储在请求头中),服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。

接下来我们来看抵御CSRF攻击的方法:

JSON Web Token

JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,可以用来解决跨站请求伪造(csrf)的漏洞。

下面这些都是服务端的操作。

1. 安装

在终端中输入以下命令安装 jsonwebtoken
npm install jsonwebtoken
或者使用yarn安装
yarn add jsonwebtoken

2. 引入

使用require将jsonwebtoken引入到模块中

const jwt = require("jsonwebtoken");

3. 创建token

创建一个token,创建有两种方式,一种是对称加密,意思是使用同一个密钥进行加密和解密;另一种是非对称加密,意思是使用私钥进行加密,使用公钥进行解密。非对称加密的安全系数比对称加密要高。

  • jwt.sign(payload,key,option),创建token
    • 第一个参数payload 为要加密的内容,可以是字符串、或者json格式。
    • 第二个参数key 为密钥,如果采用对称加密的方式,则key是一个字符串;如果采用非对称加密的方式,则key是PEM编码的私钥,非对称加密时,要指定第三个参数option中 algorithm属性的值(默认为HS256)。

对称加密:

const jwt = require("jsonwebtoken");
//生成token
let token = jwt.sign("admin111", "aaa");

非对称加密:

在终端中输入以下命令,生成私钥和公钥文件

openssl genrsa -out rsa_private_key.pem 1024
openssl rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem

私钥和公钥文件文件如下:
在这里插入图片描述

const jwt = require("jsonwebtoken");
const fs = require("fs");
const path = require("path");
//读取私钥文件
let file=path.resolve(__dirname , "../key/rsa_private_key.pem");
let privateKey = fs.readFileSync(file);
//生成token
let token = jwt.sign("admin111", privateKey, { algorithm: 'RS256' });

4. 验证token

生成的token是一个加密后的无序字符,当服务器收到token时,需要对它先进行解密操作再判断是否正确。

  • jwt.verify(token,key,option),对token进行解密操作
    • 第一个参数token 为浏览器请求发送过的token。
    • 第二个参数key 为密钥,如果采用对称加密的方式,则key就是加密时使用的key;如果采用非对称加密的方式,则key是PEM编码的公钥,非对称加密时,要指定第三个参数option中 algorithm属性的值(默认为HS256)。

对称加密方式:

const jwt = require("jsonwebtoken");
//解密token
let rs = jwt.verify(token, "aaa");
if(rs === "admin111"){
	//验证通过
}

非对称加密方式:

const jwt = require("jsonwebtoken");
const fs = require("fs");
const path = require("path");
//读取公钥文件
let file=path.resolve(__dirname , "../key/rsa_public_key.pem");
let publicKey = fs.readFileSync(file);
//解密token
let rs = jwt.verify(token, publicKey,{ algorithm: 'RS256' });
if(rs === "admin111"){
	//验证通过
}

5. 服务端完整案例

上面讲到,生成token后,将token存储在响应头中发送给浏览器。浏览器在每次发送请求的时候,将token存储在请求头中,再发送给服务端。下面是服务端token操作的完整案例,这里使用对称加密的方式:

var express = require('express');
const jwt = require("jsonwebtoken");
var app = express();

app.post("/login",(req, res) {
	let {username,password} = req.body;
	//创建token
	let token = jwt.sign(username, "aaa");
	//将token添加到响应头中
    res.set("x-access-token", token);
	//返回数据给浏览器
	res.send({message: "登录成功"});
});

app.get("/getInfo",(req,res){
	if (req.get("x-access-token")) {
		//获取浏览器传过来的token
		let token = req.get("x-access-token");
		//将token解密
		let rs = jwt.verify(token, "aaa");
		//判断token是否正确
		if (rs === req.session.username) {
			//返回数据给浏览器
			res.send({data:"..."});
		}
	}
});

app.listen(3000)

用户登录成功,在响应头中,我们就可以看到token的存在。
JsonWebToken

前端对token的操作

服务端创建token后,将token存储到响应头中返回给前端,前端需要对token进行存储,每次请求的时候再将token进行发送。

这里使用jquery来操作,存储token:

$.ajax({
	url:"/api/user/login",
	data:{username:"admin",password:"123"},
	type:"post",
	success:(res,status,xhr)=>{
		//登录成功后,获取响应头中的token
        let token=xhr.getResponseHeader("x-access-token");
        //将token存储在localstorage中
        if(token) localStorage.setItem("token",token);
	},
	error:(err)=>{
		console.log(err);
	}
})

使用$.ajaxSetup(),在发送所有的请求前,将token写入请求头中:

$.ajaxSetup({
	//发送所有的请求前,将token写入请求头中
	beforeSend(xhr,setting){
		let token=localStorage.getItem("token");
		xhr.setRequestHeader("x-access-token",token);
	}
}

当浏览器发送请求时,在请求头中,我们也可以看到token的存在。
JsonWebToken

蒲公英芽
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django CSRF跨站请求伪造防护过程解析
01-01
前言 CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A的cookies。 2、用户在访问恶意网站B, 网站B上有某个隐藏的链接会自动请求网站A的链接地址,例如表单提交,传指定的参数。 3、恶意网站B的自动化请求,执行就是在用户A的同一个浏览器上,因此在访问网站A的时候,浏览器会自动带上网站A的cookies。 4、所以网站A在接收到请求之后,可判断当前用户登录状态,所以根据
Ajax之post请求跨站请求csrf_token发送处理de三种方式
Quincy.Coder的博客
11-14 5864
方式一:$.post({ url: '/get_result/', data: { value0: $('#v1').val(), value1: $('#v2').val(), csrfmiddlewaretoken: '{{ csrf_token }}' }
跨站请求伪造CSRF攻击)漏洞原理和解决指南
日拱一卒无有尽,功不唐捐终入海
12-15 8505
跨站请求伪造CSRF)是一种常见的Web安全漏洞,攻击者利用该漏洞可以以被攻击用户的身份执行未经授权的操作。下面是CSRF攻击的原理:1. 用户登录网站:用户在一个网站上登录,并获取了有效的会话凭证(如Cookie)。2. 攻击者准备攻击页面:攻击者准备一个恶意网页,该网页会在用户浏览器中加载并执行。3. 用户访问恶意网页:用户在登录网站后,访问了攻击者准备的恶意网页,该网页中包含了攻击者构造的恶意请求
跨站请求伪造 CSRF 漏洞原理以及修复方法
最新发布
it知识分享 free for nothing..
02-11 817
跨站请求伪造 CSRF 漏洞原理以及修复方法
xss和csrf详解
weixin_33737774的博客
08-29 302
XSSCross site scripting,全称“跨站脚本”特点是不对服务器造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论时,提交含有js的内容文本,而服务器没有过滤掉或者转义掉这些脚本,作为内容发布到页面上,那么其他用户在访问的时候就会运行这些脚本。for example:​ // 用 <script type="text/javascript"></scrip...
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修改测试的请求成功被网站服务器接受,则说明存在CSRF漏洞。
跨站请求伪造(CSRF)总结和防御
bluemoon_0的博客
02-04 1913
跨站请求伪造(CSRF)总结和防御
CSRF-跨站请求伪造原理与修复方式
bingtanggululu的博客
03-31 370
CSRF-跨站请求伪造原理与修复方式
跨站请求伪造CSRF)攻击原理及预防手段
m0_47905795的博客
06-02 4669
随机化TokenCSRF Token):Token是用于验证网站请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
干货!!学习 CSRF 跨站请求伪造,看这一篇就够了
喜欢Python编程的程序员柚柚呀
06-21 477
才行。其实很简单,比如我们使用 QQ,看看 QQ zone,突然蹦出个包含中奖或者问卷调查链接的聊天窗口(或者是。。。),这个腾讯做了防范,但是我们收到封邮件包含此内容,很多用户会选择去点击在网上找了张图片很能说明这个过程。
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF跨站请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Thinkphp检测Token令牌,防跨站跨账户漏洞
美奇软件开发工作室
05-11 419
以前真的不懂,也没想明白为什么要检查Token,感觉多此一举,毕竟用户都是要登录网站,才能进行操作,今天才发现自己的想法太天真了!不做Token检测的话,别人只要知道你的接口或者控制器方法名,很容易就可以进行跨站或者跨账户操作,比如张三,可以直接修改李四的登录状态,下面一起来学习如何避免这个漏洞。或者在ajax参数里加上token。2、所有的控制器都要继承这个。
跨站请求伪造CSRF
浪漫鼠
05-27 3062
以下转自:http://www.cnblogs.com/dolphinX/p/3403520.html CSRF是Cross Site Request Forgery的缩写,乍一看和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF伪造成合法用户发起请求。 在XSS危害——session 劫持中我们提到了session原理,用户登录后会把登录信息存放在
CSRF漏洞原理与防御方式
dreamthe的博客
09-17 1966
CSRF漏洞原理 CSRF被叫做跨站请求伪造,该怎么理解这句话呢,比如 用户a在浏览器登录了账号,当他发送登录请求时候,服务器验证了账号密码,会返回给一个身份信息存放在cookie里面,浏览器保存,那么以后用户访问服务器带着这个cookie就行了。那么怎么产生攻击的呢,是用户在已经登录的状态下,访问了一个恶意的网站,带浏览器保存的cookie值向服务器发送了恶意请求,服务器会以为是用户的请求,其实这是用户不知情的请求。垮了两个站,一个是用户登录实际网站,一个屙屎攻击者恶意构造网站,所以称作跨站请求伪造
CSRF跨站请求伪造 漏洞修复
HelloKittyTom的博客
08-25 997
CSRF跨站请求伪造 漏洞修复 CSRF: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 修复思想: 可以在前端修复也可以在后端修复,一般前端和后端
跨站请求伪造(Cross-Site Request Forgery:CSRF解决方案
weixin_33806300的博客
07-06 712
2019独角兽企业重金招聘Python工程师标准>>> ...
CSRF - 跨站请求伪造
weixin_46601374的博客
03-01 5607
什么是CSRF? CSRF(Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 实说白了..
CSRF跨站请求伪造漏洞
12-06
CSRF(Cross-site request forgery)跨站请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网站上设置陷阱,引诱用户点击链接或者访问页面,从而触发CSRF攻击。攻击者可以通过这种方式窃取用户的个人信息、账号密码等敏感信息,或者进行一些非法操作,比如在用户不知情的情况下转账、购买商品等。 CSRF攻击的过程一般包括以下几个步骤: 1. 攻击者在第三方网站上设置陷阱,比如在网页中插入一个图片或者链接。 2. 用户在浏览器中访问第三方网站,触发了陷阱,浏览器会自动向被攻击网站发送请求。 3. 被攻击网站接收到请求后,会认为这是用户的合法请求,从而执行相应的操作,比如转账、购买商品等。 防御CSRF攻击的方法包括: 1. 在表单中添加随机的token,防止攻击者伪造请求。 2. 检查Referer头部,确保请求来源于合法的网站。 3. 在cookie中添加SameSite属性,限制cookie只能在同站点请求中发送,从而防止跨站请求伪造攻击。 --相关问题--: 1. 什么是XSS漏洞? 2. 如何防御XSS攻击? 3

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值