CSRF与CORS

最新推荐文章于 2022-12-04 19:58:27 发布
最新推荐文章于 2022-12-04 19:58:27 发布
阅读量718 收藏 2
点赞数
分类专栏: WEB 后端开发 文章标签: csrf 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tom098/article/details/125070902
版权

CSRF与CORS没有直接的联系。

在CSRF攻击时,不是通过跨域访问来攻击的,比如从恶意B网站下载的javascript执行时,访问正常网站A,不是这样的。一般是从恶意网站B下载的网页里边有一个超级链接,链接到网站A,这是由于用户登陆过网站A,便会携带身份信息(主要是cookie),向A网站发起操作,比如银行转账等。

Spring Security通过设定一个csrf_token的方式,并且这个token下次访问时,通过header、parameter、cookie的方式携带上来,这样Spring Security的CSRF Filter就会检查cookie里边的CSRF token值和header或者parameter里的CSRF token值是否相同来判断是否是合法请求。

由于CSRF攻击时,只能将网站A的cookie携带过来,但是header是无法携带的,所以请求到了Spring Security的CSRF Filter就会被拒绝。

(以上是对Spring Security CSRF这块儿的粗浅理解,还没有详细看源码,理解肯定会有偏差)

对于前后端分离项目,一般认为是天然免受CSRF攻击的,因为前后端分离项目,后端一般使用token来进行鉴权,而不是使用cookie,所以恶意网站一般不容易对这种后台服务做CSRF攻击。

而CORS一般是指客户端浏览器在收到网站B的javascript或者一些网页的标签比如<image>时,这些标签或者javascript尝试访问、加载另外一个非同源的网站A的资源,这时,网站A可以设定是否允许CORS访问,对于CORS访问限制,是浏览器设置的。浏览器在正式访问网站A前,会发一个OPTION请求,询问网站A是否允许跨域访问。

所以CSRF与CORS的区别还是很大的。CSRF对于浏览器来说就是一个正常的访问,没有OPTION操作,不涉及同源、跨域的问题。

Tom098
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
不同版本浏览器前端标准兼容性对照表以及CORS解决跨域CSRF安全问题解决方案.docx
10-26
不同版本浏览器前端标准兼容性对照表以及CORS解决跨域CSRF安全问题解决方案.docx
spring-security-ng-cors:使用 spring-security-csrf-token-interceptor 演示 CORS 问题的示例
07-03
介绍 该项目通过演示了 CORS 问题。
cors-gate:在服务器端执行CORS
04-29
科斯·盖特 连接兼容的中间件,可根据CORS规则有选择地拒绝请求。 如果只需要支持现代浏览器,则可以使用它替代CSRF令牌。 有关更多信息,请参见。 安装 在您的项目中运行此命令: $ npm install cors-gate 测试 $ npm test 用法 const express = require ( 'express' ) ; const cors = require ( 'cors' ) ; const corsGate = require ( 'cors-gate' ) ; const app = express ( ) ; app . use ( cors ( { origin : [ 'https://app.mixmax.com' , 'https://other-app.mixmax.com' ] , credentials : true } ) )
secure-rest-angular-tut:REST查询的AngularJS客户端,用于管理身份验证,CORSCSRF。 出于实验目的,或开始新项目!
05-08
安全休息角- REST查询的AngularJS客户端,用于管理身份验证,CORSCSRF。 出于实验目的,或开始新项目! 出于学习目的编写了此代码后,我没有包括grunt文件。 另一方面,可以使用您喜欢的IDE将Web应用程序轻松部署在服务器上。 例如,在IntelliJ IDEA上: 打开“运行/调试配置”窗口(“编辑配置...”) 添加新的本地Jetty服务器配置(单击+) 命名您的配置,然后单击“部署”选项卡 添加要在服务器启动时部署的“工件”(如果尚未定义工件,则必须通过“项目结构”窗口,或者必须在下面的警告消息中单击“修复”) 使用+按钮添加“ Web应用程序:爆炸”工件,并将其命名为“ secure-rest-angular-tut” 在“输出布局”选项卡中,单击“ +”按钮,选择“目录内容”,然后将其指向“ secure-rest-angular-tut”文
基于CORS实现WebApi Ajax 跨域请求解决方法
12-08
概述 ASP.NET Web API 的好用使用过的都知道,没有复杂的配置文件,一个简单的ApiController加上需要的Action就能工作。但是在使用API的时候总会遇到跨域请求的问题,特别各种APP万花齐放的今天,API的跨域请求是不能避免的。 在默认情况下,为了防止CSRF跨站的伪造攻击(或者是 javascript的同源策略(Same-Origin Policy)),一个网页从另外一个域获取数据时就会收到限制。有一些方法可以突破这个限制,那就是大家熟知的JSONP, 当然这只是众多解决方法中一种,由于JSONP只支持GET的请求,如今的复杂业务中已经不能满足需求。而CORS(Cr
CSRF漏洞剖析
zmzsg100的专栏
12-04 821
CSRF的前世今生
CSRF(跨域请求伪造)和XSS(跨域脚本攻击)的概念和防范措施
tscn1的博客
03-22 996
这里写目录标题CSRF(跨域请求伪造)原理:防御cookie的sameSite验证referer和Origin二次验证使用非cookie令牌XSS(跨域脚本攻击)存储型XSS反射型DOM型 CSRF(跨域请求伪造) 恶意网站以正常用户为媒介,通过模拟正常用户的操作,攻击其登录过的网站。 原理: 1. 正常用户登录后,获得正常站点的令牌,以cookie的形式保存。 2. 用户访问恶意站点,恶意站点通过某种形式去请求了正常网站,然后将用户的令牌传递到正常网站,完成攻击。 防御 cookie的sameSite
DVWA-CSRF
weixin_44866139的博客
02-03 379
CSRF攻击原理 跨站请求伪造,听起来像XSS跨站脚本攻击,但攻击方式完全不同,CSRF更加难以防范,更具危险性。CSRF建立在会话之上,可以通过欺骗用户访问URL来实现。CSRF攻击是黑客借助受害者的Cookie骗取服务器的信任,但是黑客并不能获取到Cookie的内容,另外,由于浏览器同源策略的限制,黑客无法从返回的结果中得到任何东西,CSRF所能做到的就是给服务器发送请求。 任何web脚本语言...
CORSCSRF--学习笔记
weixin_45951911的博客
12-04 3824
一、CORSCSRF 区别 两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍: CORS : Cross Origin Resourse-Sharing 跨站资源共享 CSRF : Cross-Site Request Forgery 跨站请求伪造 XSS : Cross Site Scrit 跨站脚本攻击(为与 CSS 区别,所以在安全领域叫 XSS) 二、CORS 1、概念 跨来源资源共享(CORS),亦译为跨域资源共享,是一份浏览器技术的规范,提供了 Web
CORSCSRF
fitzleopard的博客
06-16 2868
本文首发于我的Github博客 本篇文章介绍了CORSCSRF的概念(作者前几天在和带佬们聊天的时候把两个概念搞混了,所以才想要了解),简单来说: CORS(Cross Origin Resource Sharing)跨域资源分享 是一种机制,通过在HTTP响应头中加入特定字段限制不同域的资源请求 CSRF(Cross Site Request Forgery)跨站请求伪造 是一种web攻击手段,通过向服务器发送伪造请求,进行恶意行为的攻击手段 CORS(Cross Origin Resource
django-react-boilerplate-template:Django React Boilerplate模板-具有会话身份验证和CSRF保护的混合模型
04-30
它还提供了抵御CSRF攻击安全性。 此模板不需要您为后端和前端启动不同的服务器。 Django服务器本身充当运行React应用程序的容器。安装在要创建项目的位置运行以下命令django-admin.py startproject --template=...
端到端安全协议的威胁、演进和部署.pdf
08-08
该报告对现实世界的CORS所做的大规模实证研究,发现攻击者利用CORS安全漏洞可以绕过防火墙攻击内网二进制服务、利用之前不可利用的CSRF漏洞和获取任意网站敏感的Cookie信息等。此外,还对Alex 排名5万的域名下的9千...
web-security-fundamentals::school:Mike的网络安全课程
04-28
这是用于的 课程的项目。 课程大纲和幻灯片 有几块? 用于Sass编译的 ... 作为CLI运行的基础 设定 为了准备好此课程,您需要确保已安装一些内容。... 您将需要安装相对较新的node.js版本(最好是v4.5或更高版本,v7)。...
SecExample:JAVA 漏洞靶场 (Vulnerability Environment For Java)
07-24
star:[CSRF漏洞]:glowing_star::glowing_star:[SSRF漏洞]:glowing_star::glowing_star:[CORS漏洞]:glowing_star::glowing_star::glowing_star::glowing_star:[反序列化漏洞-Fastjson反序列化]:glowing_star::glowing...
laravel-self-consuming-api-starter:具有Laravel后端和多个子域的自用API入门应用程序-Vue.js,Dingo,JWT,CORS
04-27
为了确保JWT的安全,还向其添加了一个附加的自定义声明,该声明与我们存储在用户中的当前CSRF进行对照。 (有关更多信息,请参见)。 为了实现这一点,有3种自定义中间件可以适当地授权和刷新JWT(带有自定义声明)...
leetcode下载-blog:关注前端的技术记录博客
06-29
csrfcors区别 xss 0% TLS 10% SSH原理 0% 同源与跨域 0% Security Headers 20% http状态码 0% 从输入g键到浏览器显示内容 0% TCP握手和挥手 0% websocket 0% todo(JS相关): 深入理解JS异步能力(callback,promise...
strapi-master
05-13
API的创建变得简单,安全和快速。 最先进的开源内容管理框架,可轻松构建强大的API。快速开始几个月来,我们一直在对Strapi... 默认情况下安全:可重用策略,CSRFCORS,P3P,Xframe,XSS等。 面向插件:几秒钟内安装
BurpSuite_payloads:与Burp Suite入侵者一起使用的有效载荷。 (最初在swisskeyrepo-PayloadsAllTheThings上找到)
04-15
API密钥泄漏AWS Amazon Bucket S3 CORS配置错误CRLF注射CSRF注射CSV注入命令注入目录遍历文件包含GraphQL注射不安全的反序列化不安全的直接对象引用管理界面不安全安全的源代码管理JSON Web令牌Kubernetes LDAP...
Go 语言编写的 Web 框架 Gem.zip
07-18
会话支持Various Middlewares(中间件)SON WEB TOKEN 中间件压缩中间件Auth 基础中间件请求正文限制中间件CSRF 中间件CORS 中间件Not bad scores of test coverage (测试覆盖率)- 可接受 85%~100%。性能
csrfcors
最新发布
06-10
CSRF(Cross-Site Request Forgery)是一种网络攻击攻击者利用用户在某个网站已经登录的情况下,在用户不知情的情况下,向另一个网站发送恶意请求,从而达到攻击的目的。 CORS(Cross-Origin Resource Sharing)是一种浏览器的安全策略,用于限制跨域请求。如果一个网站想要访问另一个网站的资源,就需要在被访问的网站设置允许跨域访问的策略。 虽然两者都涉及跨域请求,但是它们的目的和实现方式不同。CORS是为了增强浏览器的安全性,而CSRF则是一种攻击手段。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值