防御csrf的另一种方法

最新推荐文章于 2024-08-09 14:09:30 发布
最新推荐文章于 2024-08-09 14:09:30 发布
阅读量1.8k 收藏
点赞数
分类专栏: javascript 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/THEANARKH/article/details/52838433
版权

除了在每个表单页面里加入hidden input外,还有一种利用csrfcode进行防御的方法,这种方法把csrfcode的相关数据放在cookie中,但并不是把csrfcode放到cookie中,比如我们在cookie中放入a=123,b=456,然后请求的时候,如果需要加入csrfcode时把a+b当做csrfcode,也就是579作为csrfcode放到请求中,然后发到后端,后端本身会保存着a和b的值,并且和前端有着一样的计算方法,后端根据这个用户的session取出对应的a和b的值,然后相加,看是否和前端传过来的值相等,这样就可以进行csrf攻击防御。

例子:比如某个网站x有形如http://a.b.c/delete?id=1这样删除文章的url,如果在另一个恶意者网站上挂着这么一条url,用户点击的时候,就会把用户的某个数据给删除了,而如果利用了刚才的方法,那么正常来说,用户点击删除按钮的时候,在发起请求之前,x网站的会先计算csrfcode然后加到请求的url中,再发起这个请求的,这时候恶意者网站就无法做到这一点。虽然他可以知道csrfcode的计算方法(这个可以通过查看网站x的源码可以知道),但是他无法知道或者说得到用户的cookie,所以他无法得到cookie中的两个键a和b。这样就可以起到防御作用。

theanarkh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF攻击原理与防御方法
墨痕诉清风的博客
02-25 4593
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
4-SpringSecurity:CSRF防护
GJ_ia的博客
01-08 163
从官网中可以知道,CSRF防护的关键在于我们发请求时附带一个随机数(CSRF token),而这个随机数不会被浏览器自动携带(eg: Cookie就会被浏览器自动带上)。通过form表单是一种发送POST请求的方式,但我们其他的请求不可能都通过form表单来提交。中的信息对于攻击者来说是不可见的,无法伪造的,虽然Cookie被浏览器。本系列教程,是作为团队内部的培训资料准备的。,这里演示下前后端分离项目如何实现CSRF防护下的安全请求。里面到底放了什么内容,攻击者是不知道的,所以将。
CSRF防御方案
hdwlwang的博客
04-24 4608
我们也可以用自定义HTTP头的方法防御CSRF攻击,因为虽然浏览器会阻止向外站发送自定义的HTTP头,但是允许向本站通过XMLHttpRequest的方式发送自定义HTTP头。比如,prototype.js这个JavaScript库就是使用这种方法,并且增加了 X-Requested-By头到XMLHttpRequest里面。
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
最新发布
2401_85773496的博客
08-09 1053
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来说,是由服务器发出请求,用户。
CSRF防御
代码搬运工
08-08 475
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 1 CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法...
CSRF攻击
aabbcc456aa的专栏
12-01 1617
CSRF攻击  目录  1 CSRF攻击简介 1  1.1 什么是CSRF 1  1.2 CSRF可以做什么 1  1.3 CSRF漏洞现状 1  2 CSRF的攻击原理 1  2.1 CSRF攻击原理 1  2.2 CSRF攻击实例 2  2.3 CSRF攻击对象 3  3 CSRF防御策略 3  3.1 验证HTTP REFERER字段 3  3.2 请求中添
csrf防御
啥都不会,一顿乱怼
05-25 416
csrf:cross site request forgey 跨站请求伪造 根据我的理解来对csrf 防御进行阐述(很可能有不对的地方,很抱歉,希望指正) 1.当我们请求一个包含表单提交的页面时,我们就可以在 session 中 设置 key 为用户唯一标识, value为相对唯一未加密文本。 2.服务器端 将 sessionID(用户唯一标识), 加密文本(用统一的 secrey_key(密钥...
5分钟科普CSRF攻击与防御,Web安全的第一防线
01-27
XSS(Cross-site scripting)是另一种常见的Web安全问题,与CSRF不同,XSS主要涉及注入恶意脚本到用户浏览器,从而影响用户而不是服务器。XSS攻击通常发生在没有正确过滤用户输入的场景,导致用户在浏览网页时执行...
如何防止CSRF攻击?
ccyzq的博客
03-17 4339
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
Flask模拟实现CSRF攻击的方法
09-20
CSRF(Cross Site Request Forgery,跨站请求伪造)是一种网络攻击手段,它利用了用户已经登录并持有有效会话(如 Cookie)的情况,使得攻击者可以在不知情的情况下,通过诱使用户执行非预期的操作来达到攻击目的。...
如何通过JWT防御CSRF
xiaomin1991222的专栏
07-26 2409
先解释两个名词,CSRF 和 JWT。 CSRF (Cross Site Request Forgery),它讲的是你在一个浏览器中打开了两个标签页,其中一个页面通过窃取另一个页面的 cookie 来发送伪造的请求,因为 cookie 是随着请求自动发送到服务端的。 JWT (JSON Web Token),通过某种算法将两个 JSON 对象加密成一个字符串,该字符串能代表唯一用户。 CS...
配置Nginx实现简单防御cc攻击
09-30
本文主要介绍lua+Nginx下如何快速有效得防御CC攻击。至于如何安装Nginx就不详细介绍了,闲话少说,大家请看示例
CSRF攻击防范
书生的博客
09-01 2427
CSRF全称:(Cross-site request forgery)跨域请求伪造 理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求 对于CSRF概念的理解:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 以下是自己的总结与实现方式(拦截器实现): CSRF攻击必须依次完成以下两个条件:  1.登录受信
csrf防护机制
凉茶铺的博客
07-17 2055
CSRF(Cross-siterequestforgery),中文名称跨站请求伪造你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括个人隐私泄露以及财产安全。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如。...
CSRF 攻击的防范措施
程序员徐师兄的博客
07-13 3095
CSRF 攻击是一种常见的 Web 攻击,可以通过利用用户已登录的身份,向目标网站发送恶意请求,从而实现攻击目的。为了避免 CSRF 攻击,开发者需要采取一些防范措施,例如随机令牌、Referer 校验和 SameSite Cookie 等。建议采用多种防范措施,以增强 Web 应用程序的安全性。
CSRF漏洞的防护措施
m0_55017965的博客
04-15 505
2,对HTTP请求头部REFERER字段进行验证(原理:攻击者构造的恶意链接其发送的HTTP请求的REFERER字段肯定不是服务端本身)1,HTTP请求数据包增加Token认证信息(原理:因为Token是随机且需要服务端验证通过的,所以可以避免CSRF攻击的发生)4,对于网站的密码修改等涉及重要更改的操作,设置需要输入旧密码才支持修改。3,网站的敏感信息等更改操作,增加验证手段,如增加验证码验证。
CSRF介绍和防御
Liu_Jun_Tao的博客
04-25 2074
CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行一些需要认证身份的操作。 举例说明,比如现在存在正常需要访问的A网站,黑客的B网站,和用户C。 要完成一次CSRF攻击,用户需要完成两步: 1.登录受信任网站,并在本地生成Cook...
Spring Security-CSRF防护 快速开始
西京刀客
10-22 641
文章目录一、什么是CSRF1. 如何防御CSRF攻击二、何时使用CSRF保护三、Spring Security的CSRF token攻击防护四、如何关闭Spring SecurityCSRF防护 一、什么是CSRF CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一,攻击方通过伪造用户请求访问受信任站点。 通常的CSRF攻击方式如下: 你登录了网站A,攻击者向你的网站A账户发送留言、伪造嵌入页面,带有危险操作链接。 当你在登录状态下点击了攻击者的连接,因
CSRF的攻击与法防御
m0_61869253的博客
03-18 237
CSRFTester是一款CSRF漏洞的测试工具。CSRFTester工具的测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。
CSRF攻击原理与防御策略详解
CSRF(Cross-Site Request Forgery)是一种常见的网络攻击手段,它利用用户的已登录状态,使恶意网站能够伪造用户的请求,从而执行未经授权的操作。以下是对CSRF原理的详细解释和防御策略。 1. **攻击原理**: - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值