安全开发之CSRF(跨域请求伪造)

最新推荐文章于 2024-04-19 21:04:29 发布
最新推荐文章于 2024-04-19 21:04:29 发布
阅读量1.3k 收藏
点赞数
文章标签: 安全 csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XZ85201/article/details/124892244
版权
CSRF(跨站请求伪造)是一种攻击手段,黑客利用用户的登录状态发起伪造请求。防御措施包括:在session中放置token对比、添加验证码、验证Referer字段、配置cookie的Same-Site属性以及使用安全框架进行处理。
摘要由CSDN通过智能技术生成

概念: CSRF(Cross Site Request Forgery)跨域请求伪造,顾名思义,是在跨域的基础上利用伪造请求而达成的一种攻击手段。是恶意网站引诱顾客点击,或将恶意代码直接植入正常网站,伪造用户向正常网站的服务器发送伪造的请求。 也就是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起跨站请求

浅谈:由于请求是从用户的浏览器发出,便能自动带上用户的cookie发送到服务器。此时如果服务器未做针对跨域的配置,又或者图省事而允许了大部分的http方法跨域,那么此时服务器并不能识别这个请求是否是伪造的。此时服务器将会按照请求进行处理,那么就极有可能造成损失。

原理:
         1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 
        2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 
        3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
最低0.47元/天 解锁文章
星之仔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security实战(七)—— 跨域请求伪造的防护及单点登录
weixin_49561506的博客
04-24 600
Spring Security之跨域请求伪造的防护,以及单点登录,CAS
CSRF(跨站请求伪造)的理解
移动端开发干货分享
04-15 535
原文:https://my.oschina.net/jasonultimate/blog/212554 下班的时候跟公司大神一起走,问了他几个问题,接着就给我讲了XSS攻击和CSRF攻击,他通过举例子的方式讲解,通俗易懂,感觉收获很大!又学到了一些新知识,心里特别高兴,为了防止我这个脑子很快就忘掉,所以趁着热乎,写下来,方便以后回顾一下~ 一、什么是CSRFCSRF是Cross Site Request Forgery的缩写,翻译过来就是跨站请求伪造。那么什么是跨站请求伪造呢?让我一个词一个词的.
(保姆级教学)跨站请求伪造漏洞
最新发布
m0_63436163的博客
04-19 1287
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件、发消息、甚至财产操作:转账、购买商品等)。由于浏览器曾经认证过,所以被访问的网站认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
web渗透测试----14、CSRF(跨站请求伪造攻击)
七天
03-25 3641
文章目录一、CSRF概述二、CSRF攻击条件1、相关操作2、基于Cookie的话处理3、没有不可预测的请求参数三、CSRF的防御1、验证请求的Referer值2、CSRF Token3、验证码等验证业务过程的方式四、基于Token的CSRF1、CSRF令牌的验证取决于请求方法2、CSRF令牌的验证取决于令牌是否存在3、CSRF令牌未绑定到用户话4、CSRF令牌绑定到非话cookie5、CSRF令牌只是在Cookie中重复五、基于Referer的CSRF1、Referer的验证取决于请求头是否存在2、是
跨站点请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5465
1. SQL盲注、SQL注入   风险:可能窃取或操纵客户话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer”头的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
【web】CSRF跨站(跨域)请求伪造攻击方式
m0_45406092的博客
02-25 583
文章目录1. CSRF是什么?2. CSRF可以做什么?3. CSRF的原理3.1 举例描述原理3.1.1 示例1:3.1.2 示例2:3.1.3 示例3:4. CSRF的防御4.1 服务端进行CSRF防御4.1.1 token4.1.1.1 Cookie Hashing(所有表单都包含同一个伪随机值):4.1.1.2 验证码4.1.1.3 One-Time Tokens(不同的表单包含一个不同的伪随机值)4.1.2 验证 HTTP Referer 字段4.1.3 在 HTTP 头中自定义属性并验证 1.
spring security中的csrf防御原理(跨域请求伪造)
08-25
主要介绍了spring security中的csrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
ajax跨域请求WebService.asmx
08-22
7. **安全考虑**:跨域请求虽然方便了开发,但也增加了安全风险,如XSS(跨站脚本攻击)和CSRF(跨站请求伪造)。因此,务必确保在实现跨域时对请求进行适当的验证和过滤,以防止恶意攻击。 总结,Ajax跨域请求...
信息安全技术:CSRF的类型.pptx
11-01
【标题】:“信息安全技术:CSRF的类型.pptx” 涉及的主题是网络安全中的CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击,这是一种常见的Web应用程序安全问题。CSRF攻击利用用户的已登录状态,通过伪装成...
跨域请求解决方案
04-17
同源策略是浏览器为了保护用户安全而实施的一项机制,防止恶意脚本通过一个网站获取并操纵另一个网站的数据,从而避免XSS(跨站脚本攻击)和CSRF(跨站请求伪造)等安全问题。 ### 三、Ajax跨域请求的解决方案 ###...
Referer校验
热门推荐
luzhangtong的博客
08-24 1万+
Referer是http协议中定义的,Referer就是上一个页面的地址,这个是浏览器在点击一个链接时自动添加到请求头中的   查看一个request信息: GET /adjs.php?n=348893119&amp;what=zone:382&amp;charset=utf-8&amp;exclude=,&amp;referer=http%3A//topic.csdn.net/u/20...
关于防盗链的方法之HTTP的referer检查
weixin_74085863的博客
11-15 861
本文专注讲解了防盗链的referer实现,快来学习吧
Cookie 的 SameSite 属性
qq_40482342的博客
06-05 556
Cookie 的 SameSite 属性 作者: 阮一峰 日期: 2019年9月 9日 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 一、CSRF 攻击是什么? Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。 Set-Cookie:id=a3fWa; 用户后
关于跨域csrf 的那些事
dengdongxia的博客
09-03 1930
前言   在这段时间,部门前辈分享了不少干货。我学到了不少内容,并对其进行简单整理,以便更好地转化为自己的知识。 知识探讨部分 关于跨域 产生 协议,域名,端口三者其中存在不同都形成跨域;故,当协议,端口,域名三者均相同时,浏览器就认为是同源,允许加载该资源,否则为不同源。 跨域存在原因:浏览器的同源限制策略 请求:客户端(www.a.com) -》 服务端(www.baidu.com)...
http referer 验证防御方法_技术干货 | CSRF攻击原理以及防御
weixin_39559333的博客
11-29 1775
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不...
2022-09-07 请求头referer拦截器防止csrf攻击
Young的博客
09-07 1804
工作中用到的对csrf攻击的简单防范方法
CSRF 绕过Referer技巧
2ed
10-14 1191
1.Refere为空条件下 解决方案: 利用ftp://,http://,https://,file://,javascript:,data:这个时候浏览器地址栏是file://开头的,如果这个HTML页面向任何http站点提交请求的话,这些请求的Referer都是空的。 例: 利用data:协议 <html> <body> <iframe sr...
客户端支持防止csrf/xsrf(跨域请求伪造)
09-15
客户端支持防止CSRF/XSRF(跨站请求伪造)的方法主要包括以下几种: 1. 验证码:在敏感操作如支付、修改密码等环节,向用户发送验证码,要求用户输入正确的验证码后才允许进行操作。这样可以有效防止CSRF攻击,因为攻击者无法获取有效的验证码。 2. Token验证:在用户登录时生成一个随机的Token,并将其储存在Session或Cookie中,每次向服务器发起请求时都需要将该Token一同发送。服务器接收到请求后校验Token的合法性,如果无效则拒绝该请求。这可以防止CSRF攻击者盗用用户身份发起恶意请求。 3. Referer检查:在HTTP头部中包含Referer字段,用于表示请求来源。服务器可以根据Referer字段的值判断请求是否来自合法来源,如果不是则拒绝请求。但需要注意的是,Referer字段不是必须的,而且可能被篡改,因此这种方法并不是绝对可靠。 4. SameSite Cookie属性:使用SameSite属性可以限制Cookie的发送,使其只在同一站点下请求时才被发送。这样可以防止跨域请求中Cookie的被盗用。但需要注意的是,SameSite属性支持程度不同浏览器有所差异,不同浏览器可能需要额外的配置或使用其他方法来提供更好的保护。 总体而言,以上几种方法并非绝对安全,各自有一定的局限性。因此,最好的防范方法是综合使用多种防护措施,加强客户端和服务端的安全防护。此外,开发人员还应持续关注最新的安全技术和漏洞情报,及时更新和修复系统,确保用户数据的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值