前端的安全防范----CSRF

最新推荐文章于 2023-02-09 23:42:44 发布
最新推荐文章于 2023-02-09 23:42:44 发布
阅读量142 收藏
点赞数 1
分类专栏: 前端面试题 文章标签: 前端面试题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LuckXinXin/article/details/109451497
版权

涉及面试题:什么是 CSRF 攻击?如何防范 CSRF 攻击?

CSRF 中文名为跨站请求伪造。原理就是攻击者构造出一个后端请求地址,诱导用户点击或者通过某些途径自动发起请求。如果用户是在登录状态下的话,后端就以为是用户在操作,从而进行相应的逻辑。

举个例子,假设网站中有一个通过 GET 请求提交用户评论的接口,那么攻击者就可以在钓鱼网站中加入一个图片,图片的地址就是评论接口

<img src="http://www.domain.com/xxx?comment='attack'"/>

那么你是否会想到使用 POST 方式提交请求是不是就没有这个问题了呢?其实并不是,使用这种方式也不是百分百安全的,攻击者同样可以诱导用户进入某个页面,在页面中通过表单提交 POST 请求。

如何防御

  • Get 请求不对数据进行修改
  • 不让第三方网站访问到用户 Cookie
  • 阻止第三方网站请求接口
  • 请求时附带验证信息,比如验证码或者 Token

SameSite

可以对 Cookie 设置 SameSite 属性。该属性表示 Cookie 不随着跨域请求发送,可以很大程度减少 CSRF 的攻击,但是该属性目前并不是所有浏览器都兼容。

验证 Referer

对于需要防范 CSRF 的请求,我们可以通过验证 Referer 来判断该请求是否为第三方网站发起的。

Token

服务器下发一个随机 Token,每次发起请求时将 Token 携带上,服务器验证 Token 是否有效

LuckXinXin
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
前端安全系列之二:如何防止CSRF攻击?
javagty6778的博客
02-11 220
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
常见的前端安全CSRF/XSS以及常规安全策略
最新发布
小草莓的博客
07-14 1795
5、前端的常规安全策略 ① 定期请第三方机构做安全性测试和漏洞扫描 ② code review 保证代码质量 ③ 默认项目中设置对应的 Header 请求头,如 X-XSS-Protection、 X-Content-Type-Options 、X-Frame-Options Header、Content-Security-Policy 等等 ④ 尽量不用v-html、在有输入框的地方要对输入做拦截和校验等
浅谈前端安全——XSS CSRF
m0_59598029的博客
02-09 204
小补充:cookie的浏览器特性:cookie可以实现跨页面全局变量,cookie可以使用,但不能跨越多个域名使用。
前端安全CSRF 攻击原理和防护方法
weixin_59124055的博客
06-13 6052
CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理和防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全面理解需要系统的学习 Cookie,前端跨域,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击和防护方法是前端进阶要去,我也希望大家
前端大厂最新面试题-前端安全.docx
06-06
本文档总结了前端安全的相关知识点,涵盖了XSS、CSRF、CSP等多方面的内容。下面是对标题和描述中所说的知识点的详细说明: 一、XSS(Cross-Site Scripting) * 定义:XSS是一种经常出现在web应用中的计算机安全...
IAP-Lab:Internet应用程序编程实验室
02-12
9. **Web安全**:了解常见的Web安全问题,如XSS跨站脚本攻击和CSRF跨站请求伪造,以及如何防范这些威胁。 通过"IAP-Lab"的学习,你将能够构建自己的Web应用程序,从简单的登录注册系统到复杂的业务应用。这个过程将...
web4-7章节
10-21
第七章可能是在前面章节基础上的深化,比如可能深入讨论RESTful API设计、数据库优化、性能提升策略,或者是现代Web安全问题,如XSS和CSRF攻击的防范。 【标签】"web4-7章节"的标签没有提供具体的信息,但我们可以...
最新大厂前端面试题-面试指南攻击篇.docx
06-06
前端面试中,安全问题虽不常被问到,但却至关重要。面试者应当对这些安全威胁有深入理解,以便在实际工作中确保应用的安全性。以下是一些常见的前端安全攻击及其防御策略。 1. SQL注入: SQL注入是通过输入恶意...
Web-安全渗透全套教程中国菜.zip
05-22
"Web-安全渗透全套教程中国菜.zip" 这个标题表明这是一个关于Web安全渗透的全面教程,特别强调了“全套”,意味着它可能涵盖了从基础到高级的各种主题。"中国菜"在这里可能是某种代号或者特色,可能表示这个教程具有...
前端安全:如何防止CSRF攻击?
02-24
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的XSS、CSRF安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端同学在日常开发中不断预防和修复安
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1733
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件...
前端安全(二)CSRF
OriginalMIxss的博客
10-25 293
简介 CSRF(Cross-site request forgery) 跨站请求伪造,CSRF简单来说就是攻击者以你的身份去伪造恶意请求,比如以你的身份去发送邮件、消息、盗取账户信息甚至购买商品网上转账等 原理 用户通过浏览器登录信用正常的网站A 服务器验证通过后后传回cookie 用户在没有登出信用网站情况下访问攻击者的危险网站B 网站B会要求访问第三方站点A,并发出请求 浏览器根据网站B的请求,并自动带上之前网站A上的cookie,访问服务器 服务器由于只根据cookie来判断,判断不出是网站A还是B
前端安全CSRF、XSS该怎么防御?
椰卤工程师的个人博客
11-12 2356
XSS是后端的责任,后端应该在用户提交数据的接口对隐私敏感的数据进行转义。NO,这种说法不对所有插到页面的数据,都要进行过滤转移,当没有敏感字符的时候,就可以直接插到页面上显示了。NO,丝毫没有什么作用XSS攻击是页面被注入了恶意的代码,利用恶意脚本,攻击者可以获取用户的Cookie、SessionID等敏感信息。在HTML中内嵌的文本中,恶意内容通过script标签注入在内联的JS中,拼接的数据突破了原本的限制在标签属性中,恶意内容包含引导,从而突破属性值的限制。
前端安全系列】【万字解析】如何防止CSRF攻击?
pakerder的博客
12-11 383
相比XSS,CSRF的名气似乎并不是那么大,很多人都认为CSRF“不那么有破坏性”。真的是这样吗?接下来有请小明出场~~这一天,小明同学百无聊赖地刷着Gmail邮件。大部分都是没营养的通知、验证码、聊天记录之类。但有一封邮件引起了小明的注意:聪明的小明当然知道这种肯定是骗子,但还是抱着好奇的态度点了进去(请勿模仿)。果然,这只是一个什么都没有的空白页面,小明失望的关闭了页面。一切似乎什么都没有发生……在这平静的外表之下,黑客的攻击已然得手。小明的Gmail中,被偷偷设置了一个过滤规则,这个规则使得所有的邮件
【基本功】 前端安全系列之二:如何防止CSRF攻击?
美团技术团队
10-11 3623
总第290篇2018年 第82篇当当当当,我是美团技术团队的程序员鼓励师美美~“基本功”专栏又来新文章了,本篇是我们前端安全系列文章的第二篇,主要聊聊前端开发过程中遇到的...
Web安全CSRF攻击
weixin_34221775的博客
03-01 316
CSRF是什么? CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 举个例子 简单版: 假如博客园有个加关注的GET接口,blogUserGuid参数很明显是关注人Id,如下: htt...
浅谈前端攻防--CSRF攻击和防御!!!
T_SmileEyes的博客
08-07 585
                                                          【书山有路勤为径,学海无涯苦作舟】 一、什么是CSRF攻击 二、CSRF攻击原理                                                                                     ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值