CSRF攻击及防御

最新推荐文章于 2024-09-14 20:01:02 发布
最新推荐文章于 2024-09-14 20:01:02 发布
阅读量190 收藏
点赞数
分类专栏: Web安全 文章标签: csrf web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dilomen/article/details/86690106
版权

CSRF:跨站请求伪造

攻击原理:冒充网站附带正常网站的Cookies,然后冒充用户向后端发起请求,但是不会去访问前端

CSRF的危害:

利用用户的登录信息,在用户不知情的情况下,完成业务的请求,会造成信息的泄露,财产的损失,还可能做一些不利用户的信息发布

CSRF防御措施:

既然冒充网站不访问正常网站的前端,那么就可以通过在正常网站前端设置一些验证信息,在后端比较这些验证信息才能允许执行

1.验证码:

就是其中的一种方式,但是过多的验证码会影响用户体验,所以不能使用太多

2.token:

后端生成一个随机的Token值,发送给前端,前端表单添加Token值,在提交表单的时候,会附带Token发送给后端,后端检验这个Token是否与生成的相一致,如果一致就通过,不一致就拒绝

如果是ajax请求,那就把Token写在<meta name="csrf_token", content=Token>,发送请求时,获取meta中的带有的Token值,一并发送给后端,由后端验证

3.验证referer

http的请求header 有一个referer的属性,告诉服务器我是从哪个页面链接过来的,就可以拒绝来自第三方的请求

 4.SameSite

使用cookie中的SameSite属性,但是现在还并不是所有浏览器都能够支持。

Dilomen
关注
专栏目录
spring-security中的csrf防御机制
behurry的专栏
07-27 3万+
什么是csrf
如何防止CSRF攻击
半夏_2021的博客
05-04 906
如何防止CSRF攻击
csrf 原理与解决方案
水墨江南
10-09 6505
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号...
CSRF
阳光梦的专栏
06-04 1286
预防CSRF攻击 什么是CSRF CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 那么CSRF到底能够干嘛呢?你可以这样简单的理解:攻击者可以盗用你的登陆信息,以你的身份模拟发送各种请求。攻击者只要借助少许的社会工程学的诡计,例如通过QQ等
yii2 ajax csrf meta,yii2 csrf验证以及token管理
weixin_36017951的博客
08-05 466
开启/关闭csrf默认情况下yii2是开启了csrf验证功能的,如果需要关闭它的话,只要在控制器中设置一个属性就可以:public $enableCsrfValidation = false;一般情况下不建议关闭,但api场景可能需要关闭。TOKEN生成管理token生成有三种方式meta标签在模板中使用 =yii\helpers\Html::csrfMetaTags();?> 即可生成me...
yii2 ajax csrf meta,yii2开启CSRF后POST"提交的数据无法被验证"
weixin_36352910的博客
08-05 532
CSRF全称Cross-site request forgery,即跨站请求伪造。利用CSRF攻击者可以破坏网络请求会话的完整性。CSRF全称Cross-site request forgery,即跨站请求伪造。利用CSRF攻击者可以破坏网络请求会话的完整性。比如如果在一个Web页面中存在js ajax的请求,为了网站安全,你应该仅允许这个ajax请求在当前web页面内发起。否则的话,用户可以...
5分钟科普CSRF攻击防御Web安全的第一防线
02-25
目录:一、CSRF介绍二、CSRF攻击的危害三、CSRF攻击原理及过程四、CSRF漏洞检测五、CSRF漏洞预防六、最后聊聊xssCSRF(Cross-siterequestforgery)跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,通常...
CSRF攻击防御Web安全的第一防线
01-27
CSRF(跨站请求伪造)攻击...总之,CSRF攻击是一种严重的安全威胁,开发者应当采取多种防御措施,如Token验证、Referer检查等,确保Web应用程序的安全性。同时,定期进行安全审计和漏洞扫描是预防CSRF攻击的关键步骤。
CSRF攻击防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
跨域post 及 使用token防止csrf 攻击
ymark
12-30 3万+
1.利用iframe进行跨域post提交 2.csrf攻击防御措施 3.使用token保护请求 4.关于webapp跨域提交的问题
Laravel--CSRF的方法
Iam8600的博客
11-17 9189
                                     Laravel--CSRF的方法     在框架中一般情况下报这种错误的都是csrf攻击未关闭   那么我们可以关闭这种csrf有以下两种方法:   第一种 打开文件路径:app\Http\Kernel.php 找到这行代码并注释掉: 'App\Http\Middleware\VerifyCsrf...
防止CSRF攻击与protect_from_forgery
qwbtc的博客
05-12 2822
CSRF(Cross-Site Request Forgery)是一种常见的攻击手段,Rails中下面的代码帮助我们的应用来阻止CSRF攻击。 class ApplicationController ActionController::Base # Prevent CSRF attacks by raising an exception. # For APIs, you may wan
cookie java spring
weixin_34124577的博客
06-17 60
package com.fusionability.web.utils; import java.util.HashMap; import java.util.Map; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServletRequest; ...
Pikachu靶场之csrf
最新发布
m0_62438849的博客
09-14 601
csrf是一种在用户已经登录的状态下,通过伪造请求来执行非法操作挖掘:如果没有Referer字段和token,那么极有可能存在CSRF漏洞防范:(1)增加Referer,记录了该 HTTP 请求的来源地址(2)添加 Token,每次用完就失效(3)同源策略SOP,(4)使用验证码,对于敏感操作输入验证码进行验证。
网络安全(黑客技术)2024年三个月自学手册
2401_85026116的博客
09-14 3265
网络安全可以基于攻击防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
"深入了解CSRF攻击防御
通过学习这门课程,学生将能够更好地理解CSRF的特点和原理,学会如何利用CSRF攻击,以及如何预防和防御CSRF漏洞。 在课程中,学生将学习到CSRF的概念和介绍,了解其攻击原理和危害。同时,课程还将深入讲解CSRF的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值