跨域提交表单攻击

最新推荐文章于 2023-05-14 15:30:55 发布
最新推荐文章于 2023-05-14 15:30:55 发布
阅读量5.3k 收藏 1
点赞数
原理:对于大多数服务器,html表单可以向任何服务器的任何url地址提交,攻击者可以利用此点向本来不需要处理表单的页面采用post方式提交大表单,或者向处理表单的页面采用post方式提交大表单,以此来消耗服务器的资源。(提交方式也可以采用其它方式,不局限于post)

1、对于如下表单,可以向任何服务器的任何url提交,如果服务器没有防范,则会处理表单会消耗不必要的资源。比如主页面只需要get请求获取,而攻击则可以向主业使用post发送大量表单到主页,服务器需要处理不必要的表单,如果攻击者发送大量表单,则会给服务器造成不必要的负担。(更严重的是控制表单提交速度)
<form action="http://bbs.xjtu.edu.cn" method="post" enctype="multipart/form-data" name="form1" id="form1">
    <label for="name">name</label>
    <input type="text" name="name" id="name" />
    <label for="file">file</label>
    <input type="hidden" name="MAX_FILE_SIZE" value="10000000" />  <!-- 10MB -->
    <input type="file" name="file" id="file" />
  <input  type="submit" value="提交"/>
</form>

解决方法检查过滤一下信息是否合法:
1、请求的方法(get/post/put...等),过滤掉不必要的请求方法。对于 php 检查$_SERVER[" REQUEST_METHOD"],对于java servlet检查  HttpServletRequest的getMethod()方法。 

2、referer头部,php采用$_SERVER[" HTTP_REFERER"], java servlet采用request.getHeader("Referer");
   对于合法表表单Referer头部不为空。

3、限制表单的大小:$_SERVER["CONTENT_LENGTH"], servlet采用request.getHeader("Content-Length");

4、限制请求的连接时间

辅助检查:
检查User-Agent: php $_SERVER['HTTP_USER_AGENT'], servlet采用:request.getHeader("User-Agent");

注意:
不能根据IP,因为IP可变,并且局域网多用户上网使用同一IP........

五七七
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cross-application-csrf-prevention:正确执行跨站点请求伪造预防
05-15
跨应用CSRF预防 本文档概述了在Rails内置的跨站点请求伪造预防机制中发现的问题,并包含可缓解上述问题的反CSRF解决方案的设计规范。 动机 在调查CSRF令牌相关的错误时,我们发现Rails中实现的CSRF预防机制存在一些问题。 Rails CSRF的预防依赖于存储在应用程序会话中的令牌,这对于一个整体式多页应用程序非常有效。 但是,它并不总是适用于单页应用程序,因为一旦将CSRF令牌作为元标记加载到页面上,它就永远不会更新,直到重新加载页面为止(有关详细信息,请参见代码)。 因此,如果令牌在后端进行了更改,则该更改将不会传播到前端,直到下一页重新加载为止。 现有的解决方案在某种程度上适用于多个多页单片应用程序来回发送用户,每个应用程序都维护自己的会话并在其中存储CSRF预防令牌,但是如果一个应用程序对另一个应用程序进行AJAX调用则根本无法使用应用。 我们发现上述问题在整个X
解决提交表单时Xss攻击的问题
Carson的专栏
09-04 7805
之前一直做内网系统,都是局域网,对安全问题一直考虑不周。 有一天对自己线上的表单做了一个测试,将&lt;script&gt;alert("xxx")&lt;/script&gt;作为表单选项提交,在后台回显时,可想而知,后台弹出了一个alert("xxx")的巨大的bug。 ------------------------------------- 修改了Xss攻击时的问题,改成了一个过滤器...
常见表单及URL攻击的几种方法
weixin_30908941的博客
01-10 466
有时候程序员为了偷懒或者是在无意识的情况下缺少了对外部数据的过滤,Web安全习惯上将所有用户输入的数据假定为受污染的数据(即可能带有攻击性的数据),现在比较流行的XSS(跨站脚本攻击)就是利用对用户输入过滤不完全而进行的攻击,因为用户数据过滤不完全会导致很多很多问题,我这里只是简单的介绍几种比较常见的表单及URL攻击方式,希望读者能够最大限度的注意过滤用户输入。 1)表单数据泄漏攻击 这个...
Web安全——CSRF攻击和防御
mapbar_front的博客
06-15 927
什么是CSRF Cross site Request Forgy(跨站请求伪造) 主要是我们打开一个钓鱼网站,进去之后,这个钓鱼网站会得到你的信息,比如你的cookie的验证信息。它会在你不知情的情况下,做一些操作。 一般在一些社交、评论等地方,一定要注意CSRF攻击。千万不要随便进去一些钓鱼网站。 一般而言,你的接口是post的话,就相对get安全一点,因为如果是post方式,CSRF只...
跨站点请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5254
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer”头的值,并对每个提交表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
jquery下异步提交表单 异步跨域提交表单
10-28
基于jquery的实现异步跨域提交表单的实现代码,需要的朋友可以参考下。
PHP防止跨域提交表单
01-20
在写用户注册的时候,一定要主要你的表单是否可以跨域提交.php中解决的方法:1.除了在页面做好表但验证之外,还要在提交的服务段的数据进行验证。验证的主要代码如下:复制代码 代码如下: $servername=$_SERVER[...
php实现跨域提交form表单的方法【2种方法】
10-21
主要介绍了php实现跨域提交form表单的方法,结合实例形式分析了curl及ajax两种方法进行跨域提交的操作技巧,需要的朋友可以参考下
php referer 验证,对$_SERVER['HTTP_REFERER']验证表单来源的一点看法
weixin_31951989的博客
03-18 540
《PHP5与MYSQL5 web开发技术详解》一书的第五章,“处理用户输入”中提到,可以依靠验证$_SERVER[‘HTTP_REFERER’]来提高表单的安全性,对此我来谈谈自己的看法。原书中说道,PHP的$_SERVER服务器超级全局数组提供了一个叫$_SERVER[‘HTTP_REFERER’]的变量,用于保存上一页的来源,比如表单提交或者超级链接的URL地址。如果有人从他的计算机中提交表单...
安全扫描漏洞解决
球球的博客
05-24 7345
Appscan漏洞已解密的登录请求 该漏洞,可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息; 整改方案: 1.对于用户名和密码等敏感信息,字段名匿名, 字段内容行非对公私钥加密处理; 2.采用post请求; 3.启用https协议; SQL注入漏洞 在系统部分url处存在该漏洞,该漏洞可能会查看、修改或删除数据库条目和表; 整改方案: 1.请求参数进行过滤一些非法的...
php ajax提交form表单_PHP学习-表单(一)
weixin_39621178的博客
11-21 239
在HTML中使用表单,需要使用<form></form>标签对表单进行指明。通常<form>标签中会包含action属性用于指明将表单数据提交至哪个页面。学习文档使用的是XHTML,它与HTML存在着些许区别。XHTML要求所有标签是小写字母,并且标签属性需要引号引用,而且每个标签必须关闭,没有关闭形式的标签要在末尾处添加空格和斜线。如下:HTML格式:<...
nginx配置CORS实现跨域
热门推荐
yanggd1987的专栏
05-16 3万+
简介 之前项目中遇到过几次跨域访问,通过百度或谷歌查询在nginx配置相关header予以解决,若不管用就没其他办法了;从来没有真正深入了解过,下面我们就来认识下CORS及在nginx中如何配置。 CORS CORS是一个W3C标准,全称是跨域资源共享(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了...
跨域解决方案
最新发布
hadry123的博客
05-14 785
换句话说,表单提交动作不受浏览器的同源策略限制,即使目标 URL 与当前页面的域名、协议或端口号不同,也可以成功发送表单请求。具体实现:A域:a.html -> B域:b.html -> A域:c.html,a与b不同域只能通过hash值单向通信,b与c也不同域也只能单向通信,但c与a同域,所以c可通过parent.parent访问a页面所有对象。需要注意的是,即使表单可以跨域提交,服务器仍然需要正确处理跨域请求,并在响应中设置适当的 CORS 响应头,以允许或限制跨域请求的访问。
什么是跨域脚本攻击?
qq_45974547的博客
03-16 6560
跨域脚本攻击又叫XSS攻击,属于客户端攻击,攻击者在我们的网页中嵌入恶意脚本,当用户使用浏览器浏览被嵌入恶意脚本的网页时,脚本就会在我们的浏览器中执行.XSS攻击的核心是脚本 XSS可以分为以下三类: 1.反射型(非持久型) 当用户访问了一个网站A,攻击者在这个网站中嵌入了恶意的脚本用于盗取客户的cookie信息. 攻击者诱导用户触发XSS攻击(诱导用户点击非法链接) 这样攻击者就获取了用户的身份信息对其进行非法的操作 2.持久型 持久型的XSS的攻击是很危险的,一旦攻击成功造成大规模XSS攻击,如XSS蠕
java springboot 通过Referer防止跨站点请求伪造
qq_44154912的博客
10-21 3788
防止跨站点请求伪造 获取 referer 为null, 无法获取 referer 导致过滤失败
网页攻击跨域 的相关问题梳理
苍老师背后的男人
12-13 2458
之前对XSS攻击和CSRF攻击了解地不透彻,导致有些原理似懂非懂。最近刚好查了一些资料,解开了心里的疑问,顺便在这记录一下
今天介绍两种跨域提交form表单的方法
Leslie
10-31 1万+
一、通过php curl<?phpfunction curlPost($url,$params) { $postData = ''; foreach($params as $k => $v) { $postData .= $k . '='.$v.'&'; } rtrim($postData, '&'); $ch = curl_init(); cur
什么前端跨域?如何解决跨域问题?什么是跨域攻击
tyxjolin的专栏
03-30 1292
跨域问题是前端开发中一个常见的问题。本文介绍了跨域问题的原因、常见的跨域解决方案、跨域攻击方式以及跨域安全措施。在实际开发中,需要根据具体的情况选择合适的跨域解决方案,并且需要注意跨域请求的安全性。
web前端安全之form表单提交前加校验_防止xss攻击
Mr_CZL的博客
07-02 8124
如果还不知道xss的话,网上有好多文章解释。xss的攻击种类很多。作为一名前端小白,本文只从前端常用实用的角度简单写了一下。这类场景就是form表单提交。为防止xss攻击表单的每个字段提交需要做校验或者编码。校验的话先不说,网上很多正则,比如校验手机号或者邮箱之类的。重点说的就是编码。提交前需要对提交的内容进行编码,防止特殊的标签之类的提交到后台。比如&lt;script&gt;alert('...
.net layui 多文件跨域表单提交上传
03-21
可以使用哈希表来解决这个问题。首先将第一个数组中的元素存入哈希表中,然后遍历第二个数组,如果某个元素在哈希表中不存在,则输出该元素。 以下是示例代码: #include #include using namespace std;...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值