WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击?

已于 2022-02-17 21:55:52 修改
阅读量6.7k 收藏 15
点赞数 6
分类专栏: WEB安全 文章标签: web安全 csrf 安全
于 2022-02-14 20:23:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JinYJ2014/article/details/122931481
版权

CSRF攻击概述

**CSRF(Cross Site Request Forgery)**是 跨站请求伪造

Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie

CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。

举个例子:

小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接,结果发现自己的账户少了 10000 元。这是这么回事呢?原来黑客在链接中藏了一个请求,这个请求直接利用小明的身份给银行发送了一个转账请求,也就是通过你的 Cookie 向银行发出请求。

<a src=http://www.mybank.com/Transfer?bankId=11&money=10000>科学理财,年盈利率过万</>

所以单纯的使用Cookie,会受到CSRF攻击。

那为什么说Token可以防止CSRF攻击呢?

token 验证的规则是,服务器从请求体(POST)或者请求参数(GET)中获取设置的 token,然后和 Cookie 中的 token 进行比较,一致之后才执行请求。

而 CSRF 攻击只是借用了 Cookie,并不能获取 Cookie 中的信息,所以不能获取 Cookie 中的 token,也就不能在发送请求时在 POST 或者 GET 中设置 token,把请求发送到服务器端时,token 验证不通过,也就不会处理请求了。

所以,token 可以防止 CSRF 攻击。

CSRF防护策略

CSRF通常从第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己网站针对CSRF的防护能力来提升安全性。

CSRF有两个特点:

  • CSRF(通常)发生在第三方域名。
  • CSRF攻击者不能获取到Cookie等信息,只是使用。

针对这两点,我们可以专门制定防护策略,如下:

  • 阻止不明外域的访问
    • 同源检测,即直接禁止外域(或者不受信任的域名)对我们发起请求。
    • Samesite Cookie,为了从源头上解决这个问题,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cookie只能作为第一方Cookie,不能作为第三方Cookie。
  • 提交时要求附加本域才能获取的信息
    • CSRF Token
    • 双重Cookie验证
jinyangjie0
关注
  • 6
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
【网络安全CSRF同样能携带缓存中的Token,那怎么实现的防CSRF
嗨Sirius
03-15 405
Token原理和作用 ①:token和cookie一样都是首次登陆时,由服务器下发,都是当交互时进行验证的功能,作用都是为无状态的HTTP提供的持久机制。 ②:token存在哪儿都行,localstorage或者cookie。 ③:token和cookie举例,token就是你告诉我你是谁就可以。 cookie 举例:服务员看你的身份证,给你一个编号,以后,进行任何操作,都出示编号后服务员去看查你是谁。 token 举例:直接给服务员看自己身份证 ④:对于token而言,服务器不需要去查看你是谁,不需要
为什么token能防范CSRF攻击、cookie是同源的
qq_36582776的博客
03-19 1067
CSRF是用户登录安全A网站后,点击危险B网站,危险B利用A中的cookie(不是获取,只是利用登录的状态)替代用户进行危险操作。 token验证是需要将token放到请求头或者请求体里,发送给服务器进行验证。 而token虽然是存储于cookie中的,但是危险B无法获取和解析cookie也就拿不到token,就无法冒用用户身份。 cookie是同源的,而打开简书的两个页面是同源的,所以这两个页面的源相同、cookie同。 查看cookie:cookie有哪些内容? 以键值对形式存储,包括
为什么token能够防止CSRF(修正版)
热门推荐
qq_45888932的博客
04-06 1万+
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
为什么Cookie无法防止CSRF攻击,而Token可以?
最新发布
m0_58989398的博客
06-24 285
上边提到,进行Session认证的时候,一般是使用Cookie来存储Session,当我们登录后,后端生成一个SessionId放在Cookie中返回给客户端,服务端通过Redis或者其他存储工具记录保存这个SessionId,客户端登录以后每次请求都会带上这个SessionId,服务端通过这个SessionId来标识登录用户这个人,如果别人通过Cookie拿到了SessionId后就可以代替你的身份访问系统了。,那跨站请求伪造是什么意思呢?下一章我们如何防止CSRF攻击?,跨站脚本攻击缩写为。
一文带你了解CSRF、Cookie、Session和token,JWT之间的关系
大河之犬的博客
09-15 1057
所以存在被盗用的风险。比如在银行里转账,银行页面上的转账请求链接,是银行服务器那边生成的链接,所以那边是可以在请求里面就加上你客户端的token的,但是钓鱼网站无法得到你的token,钓鱼网站仿造的转账请求链接是无法把token写入的,所以就无法生效。意思是,客户端打开了钓鱼网站,却在不知情的情况下,发送了一个请求给淘宝,这个请求有可能是转账,付款等等,因为是客户端发出的请求,所以客户端会带上自己的cookie,这样就可以请求成功。基于token的验证是无状态的,这也许是它相对cookie来最大的优点。
cookies为什么会有csrf风险,为什么token可以避免
qq_44705614的博客
03-16 545
如果使用token,因为token可以不放在cookie里面,在发送请求时经过前端程序处理才可以把token放到请求参数中,所以在直接请求伪造的地址时,浏览器会自动让请求携带cookie,但是没经过前端的操作,请求不会携带token,服务器没有验证token,就会拦截不服务。当浏览器发送请求且浏览器存在 Cookie 且同源不跨域时,浏览器会自动在请求头携带上 Cookie 数据。所以浏览器对csrf背锅,即利用的是网站对用户网页浏览器的信任。CSRF 利用的是网站对用户网页浏览器的信任。
CSRF攻击与防御,Web安全的第一防线
01-27
CSRF(跨站请求伪造)攻击Web安全领域的一个重要话题,它允许攻击者通过诱使用户在不知情的情况下执行非预期的操作来滥用用户在某个网站上的权限。这种攻击方式通常涉及两个网站:一个受信任的网站(Web A)和一个...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
因此,在 Spring Boot 项目中使用 Spring Security 防止 CSRF 攻击非常重要,可以保护用户的安全,提高系统的安全性。 结论 Spring Security 中的 CSRF 防护机制可以保护用户免受 CSRF 攻击,提高系统的安全性。在...
5分钟科普CSRF攻击与防御,Web安全的第一防线
01-27
CSRF(Cross-site request forgery)攻击是一种网络攻击方式,它利用了用户的浏览器信任关系,使得攻击者可以以用户的身份执行非预期的操作。这种攻击Web应用中尤为常见,因为大部分网站依赖Cookie来维持用户的...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
**Django CSRF防护详解** CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种...确保在所有可能的POST请求中包含CSRF令牌,并更新你的前端代码以处理CSRF保护,可以有效地防止CSRF攻击,保护用户数据的安全
Flask模拟实现CSRF攻击的方法
09-20
CSRF(Cross Site Request Forgery,跨站请求伪造)是一种网络攻击手段,它利用了用户已经登录并持有有效会话(如 Cookie)的情况,使得攻击者可以在不知情的情况下,通过诱使用户执行非预期的操作来达到攻击目的。...
token为什么能防止csrf_「Burpsuite练兵场」CSRF(二)
weixin_39770821的博客
12-10 679
Burpsuite练兵场系列文章更新啦,今天的内容是延续上期关于CSRF的内容介绍,感兴趣的小伙伴千万别错过了呦!上期回顾「Burpsuite练兵场」CSRF(一)实验一:Token关联到非会话cookie实验提示:应用程序 email change模块存在CSRF漏洞,启用了token防护,但是并未将csrf令牌防护整合到会话管理中。实验要求:构造CSRF利用代码并上传到exploit serv...
TOKEN验证防止CSRF攻击的原理
weixin_34362991的博客
11-29 4082
CSRF中文名是跨站请求伪造攻击,黑客可以通过CSRF攻击来伪造我们的身份,从而进行不法的活动。比如是以我们的身份进行转账,发送邮件等操作。要想做到预防CSRF攻击,首先需要了解CSRF攻击的原理,只有这样才可以真正的掌握预防的手段。CSRF攻击的原理是这样的:(1):当我们登陆某个网站以后,因为HTTP协议是无状态的,所以为了保存我们的登陆状态,服务器中的程序就必须创建一个session文件,...
为什么XSRF-TOKEN可以用于防止跨站请求伪造(CSRF或XSRF)攻击
m0_57236802的博客
08-13 1938
在发送到服务器的每个非简单请求(例如 POST 请求)中,客户端应用程序还必须以某种方式(如请求头或表单字段)将该 token 包括进去。因此,即使攻击者能够诱使用户的浏览器对目标站点发起请求,由于他们不能在请求中包括有效的 token,所以该请求将被服务器拒绝。用于防止跨站请求伪造(CSRF 或 XSRF)攻击的原理在于,它为每个会话提供了一个唯一的、难以预测的 token。:对于每个涉及潜在副作用的请求(例如修改、添加或删除数据的请求),服务器都会检查附带的。
token 为什么可以防止CSRF 攻击
qq_40929531的博客
12-03 2304
token 是被开发者发送给后端的,攻击者如果无法获取到token 是无法通过后端服务器的校验的 但是cookie 不同,只要在同一个浏览器,浏览器就会自动将cookie 放入请求头中,如果用cookie 做登录验证,例如: 小明登录了csdn, 此时小明突然想到了一件事情,登录了另一个网站,而这个网站被不知名的人埋入了一些请求,这些请求是当其他人进入该网站,则请求csdn 友好的帮助访问者发布一篇文章, 假如csdn 使用的是cookie做登录判断,小明访问该网站时触发了该请求,浏览器会自动将coo
token为什么能防止csrf_注意!!CSRF和XSS攻防知识点来了
weixin_39740737的博客
11-29 4660
作者:侯医生链接:https:segmentfault.com/a/1190000006672214导读随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊WEB前端的安全那些事儿。这里不去那些后端的攻击(SQL注入、DDOS攻击等),我们就聊一聊前端工程师们需要...
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5852
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个token值Ant上CSRFtoken)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
CSRF攻击与防御
Java/Android/IOS/前端/云计算
10-22 2780
发布时间:2012年08月28日 分享 推荐打印收藏 CSRFWeb应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
什么是CSRF攻击
05-18
CSRF(Cross-Site Request Forgery)攻击是一种Web应用程序中常见的安全漏洞,攻击者可以利用该漏洞欺骗用户在不知情的情况下执行某些操作,比如在用户不知情的情况下发邮件、发微博、加好友等。攻击者通过构造恶意请求,将请求发送到服务器,而服务器无法区分是合法的请求还是恶意的请求。一旦用户点击了恶意链接或访问了恶意网站,攻击者就能够获得用户的身份认证信息,并且以此进行攻击。 防范CSRF攻击的方法有: 1. 在请求中添加token验证,确保请求是来自合法的源。 2. 不要使用基于cookie认证的方案。 3. 使用独立的子域名来存放数据,防止跨域攻击
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值