CSRF、Cookie、Session和token之间不得不说得那些事儿

最新推荐文章于 2024-08-09 14:09:30 发布
最新推荐文章于 2024-08-09 14:09:30 发布
阅读量5.3k 收藏 45
点赞数 16
分类专栏: web 文章标签: Cookie Session token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/besmarterbestronger/article/details/102544093
版权

文章目录

1. 前言

web开发相关职位的面试中,经常会遇到CSRF、Cookie、Session和token。每次看了一些博客之后,总是以为理解了,燃鹅事情并不是这样。

强烈推荐大家先读一读这篇博客,真的写的很好。彻底理解cookie,session,token

2. 什么是CSRF?

原文 安全|常见的Web攻击手段之CSRF攻击

CSRF攻击的全称是跨站请求伪造( cross site request forgery),是一种对网站的恶意利用。简单点讲就是,恶意网站(攻击者)盗用了你的身份,以你的名义向信任网站发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件、发短信、进行交易转账等,甚至盗取你的账号。图片来自什么是CSRF?可能多数人都不清楚,没事,一起来了解!!!
在这里插入图片描述
对上面的图进行分析:

  1. 用户C通过浏览器登陆并浏览信任网站A;
  2. 在用户C的浏览器中生成网站A的Cookie;
  3. 用户C通过浏览器访问恶意网站B;
  4. 在恶意网站B的一些HTML标签或者js中有一些代码,让用户C去访问网站A(发送用户C对网站A的request),进行一些恶意操作;例如:
     银行网站A,它以GET请求来完成银行转账的操作,如:
 http://www.mybank.com/Transfer.php?toBankId=11&money=1000危险网站B,它里面有一段HTML的代码如下:
 <img src=http://www.mybank.com/Transfer.php?toBankId=11&money=1000>
  5. 此时,这个request请求会携带网站A的Cookie去请求网站A;
  6. 网站A无法识别请求是否是用户的请求,还是恶意网站盗用身份后的请求,所以会按照请求内容进行操作。

需要知道的就是,在恶意网站的HTML或者JS代码中会让你去访问其它网站,你的浏览器在访问网站的时候会自己携带该网站的Cookie去请求,然而网站对于用户的认证信息都在Cookie里,所以才让恶意网站有机可乘。

3. 什么是Cookie?有什么用?机制?

原文 深入理解Cookie

由于HTTP协议本身是无状态的,也就是说同一个用户前一次HTTP请求和后一次HTTP请求时相互独立的,无法判断后一次请求的用户是不是刚才的用户。为了记录用户的状态,才有了Cookie。Cookie实际上以key-value键值对的形式存储了一些文本信息数据,它将数据保存在客户端(浏览器)。

当浏览器(客户端)登陆网站请求服务器后,服务器的response中返回了Set-Cookie(与Cookie类似,也是键值对的一小段文本),浏览器(客户端)将这个Cookie保存起来,当下次该浏览器(客户端)再请求此服务器时,浏览器(客户端)把请求的网址连同该域的Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。

在这里插入图片描述

  1. 客户端发送一个HTTP Request请求服务器;
  2. 服务器方返回一个HTTP Response给客户端,其中有Set-Cookie的头部;
  3. 客户端根据Set-Cookie将该网站的Cookie保存下来;
  4. 当再次请求该服务器时,浏览器客户端会自动携带已经保存的该网站的Cookie一同发送给服务器;
  5. 服务器返回HTTP Response;

Cookie中通常包含的信息:

Cookie属性描述
Name设置要保存的 Key
Value设置要保存的 Value
Domain生成该 Cookie 的域名,如Domain=“www.csdn.net”
Path该 Cookie 是在当前的哪个路径下生成的,如Path=/blog/
Expires/Max-Age过期时间,超过该时间,则Cookie失效
SizeCookie大小
HttpOnly如果Cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取Cookie内容,这样就增加了Cookie的安全性
Secure如果设置了这个属性,那么只会在 HTTPS 连接时才会回传该 Cookie
SameSite如果链接来自外部站点,浏览器不会将cookie 添加到已通过身份验证的网站。

所以Cookie的作用就是保存用户状态,让服务器能够知道这一次请求的用户是谁,他有哪些信息。

需要注意的是,由于同源策略的存在,不同源的网站不能使用对方网站的Cookie,也即是不可以跨域名的,隐私安全机制禁止网站非法获取其他网站的Cookie。所以,在CSRF中恶意网站其实并不能获取到信任网站的Cookie

4. 什么是session?有什么用?机制?

Cookie和session是配套使用的。Cookie是将一些文本信息以键值对的形式保存在客户端,而Session是将某些信息保存在服务器端。因为HTTP协议是无状态,Cookie是在客户端实现状态保持,Session是在服务器端实现状态保持,通过两者的结合实现客户端和服务器连接的状态保持。那么如何才能将Cookie对应到正确的Session呢?利用sessionid。通常在数据库中有一个seesion表,存放着所有的Session数据,大家都知道数据库数据都有一个id,而sessionid就对应的这个id,所以通过浏览器传递过来的Cookie,服务器能找到对应id的Session实现连接的状态保持。

例子来自 Session机制详解

让我们用几个例子来描述一下cookie和session机制之间的区别与联系。笔者曾经常去的一家咖啡店有喝5杯咖啡免费赠一杯咖啡的优惠,然而一次性消费5杯咖啡的机会微乎其微,这时就需要某种方式来纪录某位顾客的消费数量。想象一下其实也无外乎下面的几种方案:

1、该店的店员很厉害,能记住每位顾客的消费数量,只要顾客一走进咖啡店,店员就知道该怎么对待了。这种做法就是协议本身支持状态。
2、发给顾客一张卡片,上面记录着消费的数量,一般还有个有效期限。每次消费时,如果顾客出示这张卡片,则此次消费就会与以前或以后的消费相联系起来。这种做法就是在客户端保持状态。
3、发给顾客一张会员卡,除了卡号之外什么信息也不纪录,每次消费时,如果顾客出示该卡片,则店员在店里的纪录本上找到这个卡号对应的纪录添加一些消费信息。这种做法就是在服务器端保持状态。

5. 什么是token?有什么用?它有什么特点?为什么能防止CSRF?

原文 基于Token的身份验证的原理

token其实就是一个令牌,用于用户验证的,token的诞生离不开CSRF。正是由于上面的Cookie/Session的状态保持方式会出现CSRF,所以才有了token。

token的特点:

  1. 无状态、可扩展
  2. 支持移动设备
  3. 跨程序调用
  4. 安全

token的机制:
基于Token的身份验证的过程如下:

  1. 用户登录校验,校验成功后就返回Token给客户端
  2. 客户端收到token后保存在客户端,token可以保存在Cookies 或 Local Storage 或 Session Storage中。
  3. 客户端每次访问API是携带Token到服务器端
  4. 服务器端采用filter过滤器校验。验证传递的token和算法生成的token是否一致,校验成功则返回请求数据,校验失败则返回错误码

当我们在程序中认证了信息并取得 token 之后,我们便能通过这个 token 做许多的事情。我们甚至能创建一个基于权限的token传给第三方应用程序,这些第三方程序能够获取到我们的数据(当然只限于该 token 被允许访问的数据)。

图片来自 基于Token的身份验证的原理
在这里插入图片描述

一直困扰的一个问题就是,为什么恶意网站不能利用用户浏览器中的token,而能利用Cookie呢?

这是因为,在信任网站的HTML或js中,会向服务器传递参数token,不是通过Cookie传递的,若恶意网站要伪造用户的请求,也必须伪造这个token,否则用户身份验证不通过。但是,同源策略限制了恶意网站不能拿到信任网站的Cookie内容,只能使用,所以就算是token是存放在Cookie中的,恶意网站也无法提取出Cookie中的token数据进行伪造。也就无法传递正确的token给服务器,进而无法成功伪装成用户了。

6. 总结

现在明白CSRF、Cookie、Session和token了吗?

tom在村口tony师傅开的理发店那里办了一张理发卡(Cookie),jerry从tom那里盗取了这张理发卡之后(CSRF),去到理发店,tony师傅在洗剪吹理发系统中(session)验证发现是自己的理发卡,那么jerry就能在tony师傅这儿剪发了。

后来,为了防止这种行为,tony师傅为理发卡增加了密码(token),就算jerry从tom那里盗取了理发卡(CSRF),但是jerry不知道理发卡的密码(token),那么jerry去到理发店之后,tony师傅在洗剪吹理发系统中发现是本店的理发卡之后,还会要求jerry给出密码(token),这样就阻止了jerry的这种行为(CSRF)。

恶意网站的js中有一些构造出来的信任网站的URL,当用户触发了这个js之后,这个用户就请求了该URL了,然后就会根据这个URL进行操作,例如修改账户里的钱,或者删除掉某些数据等,总之这是一种很不安全的行为。所以,在信任网站的js中额外传递了一个参数token(通常是根据Cookie来生成的)给后端,这个参数只有在该信任网站的页面中才能生成对应的token,而恶意网站通过构造信任网站的URL能够伪造用户的操作,但是由于同源策略的原因,恶意网站无法使用Cookie也就无法生成对应的token,无法逃避信任服务器的验证。

7. 参考文献

[1] 安全|常见的Web攻击手段之CSRF攻击
[2] 彻底理解cookie,session,token
[3] 关于CSRF 和 csrftoken
[4] CSRF Token 的设计是否有其必要性?
[5] 为什么CSRF Token写在COOKIE里面
[6] CSRF攻击与防御(写得非常好)
[7] 什么是CSRF?可能多数人都不清楚,没事,一起来了解!!!
[8] 深入理解Cookie
[9] Session机制详解
[10] token验证机制
[11] 基于Token的身份验证的原理

Idea King
关注
专栏目录
SessionToken验证的区别以及CSRF攻击
近光的博客
06-06 7998
Session是什么 session意为“会话”。我们都知道HTTP是无状态的协议,但有时我们需要保存状态来进行后面的操作,比如某个电商网站的购物车功能(在不登录的情况下,也就是不使用数据库),如果不使用session,那么每次添加物品到购物篮后都不会保存,结果就是刷新一下购物篮就会变成空的。所以我们需要这个session来保存一定的状态。当用户打开某个网页的时候,就发生了一次会话,也就是...
【网络】CookieSessionToken、JWT及CSRF攻击
Voiceu的博客
06-10 661
由于HTTP是一种无状态的协议,所以当我打开淘宝,登录后,点击跳转结账(另一个页面),服务器端就不知道现在发请求的是不是我了,就得让我再次登录来确认身份。所以每一次请求的发生都是全新的,那么就需要一个来记录身份并且验证的东西,相对于通行证一样。这就是CookieSession的作用, 流程 客户端首次发出请求,服务器端收到后开辟一块 Session 空间(创建了Session对象),同时生成一个 sessionId ,并通过响应头的 **Set-Cookie:JSESSIONID=XXXXXXX **命
为什么CSRF Token能够放在Cookie
h1nt的博客
08-30 2818
0x01 前言 在某次测试中注意到网站的CSRFTOKEN放在Cookie中,感觉和之前的一些知识起了冲突。遂查了些资料整理明白了,并记录于此文。 0x02 CSRFCSRF Token 相信有很多师傅的知识都是通过道哥的《白帽子讲WEB安全》中习得的,里面有一个删除搜狐博客的例子,从大体来可以概括如下: 对于防御方法,很多博文中也有介绍,就是通过种种形式添加CSRF Token 0x03 疑问&解答 然后呢在某次测试中,抓到的包如下 可以看到有多个csrftoken的字样,当
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
最新发布
2401_85773496的博客
08-09 1119
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来,是由服务器发出请求,用户。
Flask CSRF的保护与cookie中的 csrf_token 和表单中的 csrf_token实现
xiaoming0018的博客
02-14 1801
Flask中请求体的请求开启CSRF保护可以按以下配置 from flask_wtf.csrf import CSRFProtect   app.config.from_object(Config)   CSRFProtect(app) #像任何其它的 Flask 扩展一样,你可以惰性加载它: from flask_wtf.csrf import CsrfProtect csrf = C...
一文带你了解CSRFCookieSessiontoken,JWT之间的关系
大河之犬的博客
09-15 1136
所以存在被盗用的风险。比如在银行里转账,银行页面上的转账请求链接,是银行服务器那边生成的链接,所以那边是可以在请求里面就加上你客户端的token的,但是钓鱼网站无法得到你的token,钓鱼网站仿造的转账请求链接是无法把token写入的,所以就无法生效。意思是,客户端打开了钓鱼网站,却在不知情的情况下,发送了一个请求给淘宝,这个请求有可能是转账,付款等等,因为是客户端发出的请求,所以客户端会带上自己的cookie,这样就可以请求成功。基于token的验证是无状态的,这也许是它相对cookie最大的优点。
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
cookiesessiontoken的区别和CSRF跨站伪造安全性初探(纠正很多技术博客的错误)
肖馨果爸爸的博客
05-21 848
介绍了 cookie,sessioncsrf 的机制
前端知识Cookie, Session,Token和JWT的发展及区别(一) 上章:主要介绍一下背景和Cookie
05-26
【前端知识】Cookie, Session, Token和JWT是Web开发中用于管理用户状态和身份验证的重要概念。本篇文章主要探讨了Cookie的定义、特点、重要属性、优缺点、使用场景及其面临的问题。 1. 背景 Cookie的诞生源于HTTP...
SessionCookieToken的关系。以及Cookie的局限性
11-30
在Web开发中,SessionCookie...总结来SessionCookieToken都是用来处理用户身份验证和状态管理的重要工具,它们各有优缺点。理解它们之间的关系以及Cookie的局限性,有助于我们在实际开发中做出更合理的选择。
安全角度浅谈cookiesessiontoken
Packet_Lee的博客
04-14 1012
前言: 为什么要研究cookiesessiontoken呢? 我当前已经学习完了sql注入和部分xss攻击,其中都遇到了使用和获取cookie,不把cookie理解了,就无法完全理解黑客获取它的原因。同时深刻理解了这三者之间的关系,对于预防也有很大的指导意义。
SessionCookieToken会话管理方式
Outengteng的博客
11-16 411
1、基于服务端session的管理 原理: 服务端session是用户第一次访问应用时,服务器就会创建的对象,代表用户的一次会话过程,可以用来存放数据。服务器为每一个session都分配一个唯一的sessionid,以保证每个用户都有一个不同的session对象。 服务器在创建完session后,会把sessionid通过cookie返回给用户所在的浏览器,这样当用户第二次及以后向服务器发送请求时候,就会通过cookiesessionid传回给服务器,以便服务器能够根据sessionid找到与该用户对应
JWT 加密
T525174893的博客
04-26 561
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该toke...
CSRF下的思考CookieSessionToken和JWT
qq_41841048的博客
05-05 1260
之前基于cookiesession有了大致了解,但是看完csrf之后感觉很乱,有了不少问题,于是做一个小总结,关于各种概念大家可以先去查一查其他的博文,该篇博文主要是针对个人一些疑问做记录 CSRF 跨站伪造请求 攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。...
被问出花了的 CookieCSRF
javagty6778的博客
03-05 343
我们知道 http 是无状态的,也就是用户登录后进行其他操作时服务端无法知道用户是否已登录。有机灵的小伙伴很快想到,把用户登录信息存起来后面的接口都带上不就可以了?但 Cookie 出现前浏览器端还没有本地存储方法,JS 中在强的变量也抵不过浏览器的一次刷新。就这样Cookie\color{red}{ Cookie }Cookie 亮相了。
为什么CSRF Token写在COOKIE里面
18年3月萌新白帽子
08-14 2万+
最近做渗透测试的时候经常看到用户的COOKIE信息里带有CSRF等字样的信息,问了一下同事,他们这个是用来防御CSRF的字段。 这一下可把我弄懵了,因为我对CSRF的理解是:攻击者盗用用户的COOKIE执行非用户本意的操作。 我的想法是,用户的COOKIE就像是一张门禁卡一样,攻击者可以盗用用户的门禁卡,以被盗用户的身份来执行一些设计增删改的操作,既然用户已经盗用了用户的COOKIE刷卡进门...
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 2860
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
CSRF Token为什么写在Cookie中?CSRF漏洞分析
CSDN1csdn1的博客
10-21 881
CSRF或XSRF,跨站请求伪造。简单地,就是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。这里最最关键的因素是令牌。用户在网站A登陆成功后,服务端颁发令牌并存储到浏览器中。
SpringSecurity (4) CSRFCSRF-TOKEN 的处理
O_o
05-17 9749
本文主要介绍SpringSecurity 和 SpringBoot 整合过程中关于 CSRF 的处理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值