关于RESTful的csrf攻击

最新推荐文章于 2023-03-13 16:45:06 发布

chenpamo9206

最新推荐文章于 2023-03-13 16:45:06 发布

阅读量635

点赞数

原文链接：https://my.oschina.net/isronik/blog/546211

版权

首先说明csrf保护的三种方式（http://insidethecpu.com/2013/09/23/encrypted-token-pattern/）：

同步的token，即是需要在服务器保存session的方式。这个的缺点是需要占用内存，同时如果有负载平衡的话，session的保存会有问题。
Double submit cookies。这个主要问题是cookies不能标识为httponly。然后如果字域名被xss攻击了，则会使得上级域名出问题。
Encrypted Token Pattern.这个参考:

在使用jsp，jinja这样的模板的网站中，要解决csrf的问题一般都比较简单。直接在服务端生成到返回的面页中，当用户提交的时候，再做比较就可以解决问题了。

现在以API为中心的应用开始流行了。也是自己在做这个的时候才遇到的这个问题。没有状态的API服务器。如何处理这样的csrf攻击？

在GOOGLE中看到的是double submit cookies。就是在request的请求参数中和cookies中加入一样的cookies，到了后台进行验证是否一样即可。此文中对此有了相关的说明。

有几个要点：

每个请求最好都要修改cookies
(zero the anti-CSRF cookie directly after each backend cal)每次请求后都要清空cookies。应该是这个意思吧。。

记录几个重要的网址：

使用简单的cookie来完成，但是cookie只写在header里

转载于:https://my.oschina.net/isronik/blog/546211

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

chenpamo9206

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

Spring REST 配置CSRF防护

laojiaqi的专栏

09-23

6419

Spring REST 配置CSRF防护内容从以下几个方面展开什么是CSRF防护如何运用CSRF进行防御（WEB）如何将CSRF防御，运用到REST中 1.什么是CSRFCSRF 攻击简单来说，是多Tab页面浏览器的一个安全漏洞，比如你正在访问A网站，此时如果浏览器有你的cookie，并且session没有过期，此时你去访问B网站，那么B网站可以直接调用A网站的接口，而A网站则认为是你本人进行

api存在csrf攻击吗_使用rest api防止单页应用上的csrf攻击

weixin_26741563的博客

09-30

1316

api存在csrf攻击吗tl;dr — If your SPA uses a private REST API, use CORS and a CSRF Token header. If your SPA uses a public REST API, use a SameSite Strict cookie for mutating operations (if you only support...

参与评论您还未登录，请先登录后发表或查看评论

基于html+ajax+restful+soa架构的csrf解决方案

fifa_016的专栏

11-12

1546

什么是csrf漏洞，请百度一下。本文在网上各位大神的想法的基础上，补充说明基于html+ajax+restful+soa架构的情况下，如果解决csrf漏洞前提： 1、假设没有xss漏洞； 2、页面统一用html+js，不用jsp 整体采用token验证方式， ① 服务端添加filter。在mapping里配置需要拦截的请求。这个filter负责生成token、向redis集群

csrf java_Spring REST 配置CSRF防护

weixin_29513663的博客

02-15

146

Spring REST 配置CSRF防护内容从以下几个方面展开什么是CSRF防护如何运用CSRF进行防御(WEB)如何将CSRF防御，运用到REST中1.什么是CSRFCSRF 攻击简单来说，是多Tab页面浏览器的一个安全漏洞，比如你正在访问A网站，此时如果浏览器有你的cookie，并且session没有过期，此时你去访问B网站，那么B网站可以直接调用A网站的接口，而A网站则认为是你本人进行的操作...

基于rest的SpringSecurity（依赖csrf)

makefriend7的专栏

12-06

977

原理如下，登陆后获得csrf，所有请求均需带该csrf, 如果想较好保障安全，建议使用https（例子暂不使用） pom文件如下 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http:/

CSRF攻击对RESTful API的影响

## 1. 引言 ### 1.1 什么是RESTful API ...### 1.2 CSRF攻击的定义和原理 CSRF（Cross-Site Request Forgery）攻击，中文名称为跨站请求伪造，是一种常见的Web安全漏洞。攻击原理是利用用户在已登录的情况下，向

实现 CSRF 攻击简单示例

weixin_33989780的博客

06-21

2489

为什么80%的码农都做不了架构师？>>> ...

防御网络隐形杀手：ThinkPHP中的CSRF攻击防护全攻略

最新发布

08-11

- 支持 RESTful 风格的 URL，方便 API 开发。 - 提供了灵活的配置功能，采用 PHP 返回数组方式定义配置，支持多种配置层次。 ThinkPHP 框架适用于多种服务器环境，包括 Windows、Unix 和 Linux，并且支持 PHP 5.0 ...

Django Forms安全最佳实践：防御XSS和CSRF攻击的终极指南

[Django Forms安全最佳实践：防御XSS和CSRF攻击的终极指南](https://www.djangotricks.com/media/tricks/2022/6d6CYpK2m5BU/trick.png?t=1698237833) # 1. Django Forms简介与安全威胁概述 ## Django Forms简介 ...

mod_csrf:防止跨站点请求伪造的 Apache 模块。-开源

05-30

为了保护Web应用程序免受CSRF攻击，开发者通常会采用各种防御机制，其中一种是使用Apache服务器的`mod_csrf`模块。 `mod_csrf`是专为Apache设计的开源模块，它的主要功能就是帮助网站增强安全性，防止恶意的跨站点...

姚博文 springsecurity restful 自定义 csrf

姚博文的专栏

01-23

1937

当项目使用中使用了springsecurity启用了csrf而前台使用restful访问,post方法的时候会提示需要csrf令牌,可以自己实现一个令牌 BeaconToken为自己实现了CsrfToken的类,页面上得到后放入一个全局变量用以访问,在访问链接后加上_csrf=自己定义的token if(session.getAttribute("org.springframework

Flask（五）：restful API接口+CSRF校验

Gym987的博客

11-20

1834

Restful djano restful（是一种api接口的设计规范，通常路由的编写不会出现动词） class userinfo： def get：获取数据 def post：添加数据 def put ：修改数据 def delete：删除数据 flask中restful 插件：flask-restful...

Restful下的token认证方案

weixin_30263073的博客

07-10

195

Restful讲究一个无状态的特性（stateless），这就不能把一些例如登陆后的认证信息写进cookie的传统方式，目前探索的是采用token的方式来进行权限的识别。刚开始研究token的时候，很容易查到比较流行的JWT（JSON Web Token）的很多资料，目前有RFC的规范（尽管还只是个草案）。简单来说JWT规定了可以自定义的CLAIM区域，并且可以加密（要在头部指明加密...

Spring Security中启用CSRF防护（REST版）

fxtxz2的专栏

03-13

911

REST版本的csrf防护，就是在原有的登录接口基础上面，新增一个实时随机请求头来，实现CSRF防护。

Spring Security之默认的过滤器链的CsrfFilter（九）

欢谷悠扬

07-09

595

1.什么是Csrf CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账…造成的问题包括：个人隐私泄露以及财产安全。通俗的说，就是你用你浏览器缓存的认证信息和用户信息，通过另外一个钓鱼网站去访问你现

Spring Security笔记：解决CsrfFilter与Rest服务Post方式的矛盾

weixin_34403693的博客

01-06

338

基于Spring Security+Spring MVC的web应用，为了防止跨站提交攻击，通常会配置csrf，即： 1 <http ...> 2 ... 3 <csrf /> 4 </http> 如果应用中有Post方式访问的Rest服务(参考下面的代码)，会很不幸的发现，所有P...

RestFul架构下的安全验证

JustKian的博客

06-28

685

1.Restful的web安全与传统MVC的web安全区别我们知道现今有很多安全框架可供我们使用，比如Spring Security、Shrio等。但是过去很多应用在使用他们进行web安全拦截的时候都是基于mvc架构，并没有实现前后端真正的完全分离，他们可以直接在服务端控制页面的渲染呈现和拦截。但是考虑到前后端完全分离后，服务端只负责业务，并不负责页面的呈现，页面的呈现完全交由前端来做（实际上...

Restful安全认证及权限的一种解决方案

浪子恒心

06-10

1046

一、Restful安全认证常用方式 1.Session+Cookie 传统的Web认证方式。需要解决会话共享及跨域请求的问题。 2.JWT JSON Web Token。 3.OAuth 支持两方和三方认证，是目前使用比较广泛的安全认证方式，但对于不使用第三方登录的认证的方式不太适用。二、JWT简介 JWT由三部分组成，包括Header、Payload和Signature。 ...

django-restful中去掉csrf验证

chenGL

11-27

716

使用django-restful时候，想取消掉csrf的验证，单独引入django的@csrf_exempt发现不起作用，原因是django-restful 的Token中间件会再次启用csrf 自己写一个中间件，取消django-restful的csrf验证 from django.utils.deprecation import MiddlewareMixin class Disable...