CSRF 攻击

最新推荐文章于 2024-04-23 16:34:34 发布
最新推荐文章于 2024-04-23 16:34:34 发布
阅读量306 收藏 7
点赞数 4
文章标签: csrf 网络 服务器 前端 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chloeeeeeeee/article/details/137935828
版权

概念

CSRF 攻击指的是跨站请求伪造攻击,攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求。
如果用户在被攻击网站中保存了登录态,那么攻击者就可以利用这个登陆状态,绕过后台的用户验证,冒充用户向服务器执行一些操作。

CSRF 攻击的本质是利用 cookie 会在同源请求中携带发送给服务器的特点,来实现用户的冒充。

攻击类型

  • GET 类型的攻击:自动发起 GET 请求,比如在网站中的一个 img 标签里构建一个请求,当用户打开这个网站时,就会自动发起提交。
<!DOCTYPE html>
<html>
  <body>
    <h1>黑客的站点:CSRF攻击演示</h1>
    <img src="https://example.org/sendcoin?user=hacker&number=100">
  </body>
</html>
  • POST 类型的攻击:自动发起 POST 请求,比如构建一个表单,然后隐藏它,当用户进入页面时,自动提交这个表单。
<!DOCTYPE html>
<html>
<body>
  <h1>黑客的站点:CSRF攻击演示</h1>
  <form id='hacker-form' action="https://example.org/sendcoin" method=POST>
    <input type="hidden" name="user" value="hacker" />
    <input type="hidden" name="number" value="100" />
  </form>
  <script> document.getElementById('hacker-form').submit(); </script>
</body>
</html>
  • 链接类型的攻击:引诱用户点击链接,比如在 a 标签的 href 属性里构建一个请求,然后诱导用户去点击。
<div>
  <img width=150 src=http://images.cn/1612/1_161230185104_1.jpg> </img> </div> <div>
  <a href="https://example.org/sendcoin?user=hacker&number=100" taget="_blank">
    点击下载美女照片
  </a>
</div>

如何预防 CSRF 攻击

  • 进行同源检测,服务器根据 http 请求头中 origin 或者 referer 信息来判断请求是否为允许访问的站点,从而对请求进行过滤。
  • 使用 CSRF Token 进行验证,服务器向用户返回一个随机数 token,当网站再次发起请求时,在请求参数中加入服务器端返回的 token,然后服务器对这个 token 进行验证。
    • 在客户端,CSRF令牌可以保存在以下位置之一:
      ⅰ. Cookie:CSRF令牌可以作为Cookie的一部分发送到客户端并存储在浏览器的Cookie中。这种方法需要服务器将CSRF令牌与Cookie进行关联,并确保在每个请求中都包含相应的Cookie。
      ⅱ. HTML表单字段:CSRF令牌可以作为隐藏字段包含在表单中。当用户提交表单时,CSRF令牌将包含在请求参数中发送回服务器。
      ⅲ. 自定义标头:CSRF令牌可以作为自定义HTTP标头的值发送到服务器。客户端可以使用JavaScript将CSRF令牌添加到每个请求的标头中。
  • 对 Cookie 进行双重验证,服务器在用户访问网站页面时,向请求域名注入一个 Cookie,内容为随机字符串,然后当用户再次向服务器发送请求的时候,从 cookie 中取出这个字符串,添加到 URL 参数中,然后服务器通过对 cookie 中的数据和参数中的数据进行比较,来进行验证。
  • 在设置 cookie 属性的时候设置 Samesite,限制 cookie 不能作为被第三方使用,从而可以避免被攻击者使用。
B.-
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何防止CSRF攻击?
ccyzq的博客
03-17 4280
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
CSRF 攻击详解
最新发布
只为成功找方法 不为失败找借口
05-22 1029
禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
CSRF攻击
一心一意码代码
03-13 533
一、什么是CSRF 攻击? 全称是Cross Site Request Forgery,即跨站请求伪造。利用用户已经登录的状态,跨站点发起伪造的请求。一般会诱导用户点击进黑客的网页。 特点: 跨站点的请求 请求是伪造的 利用用户的登录状态 二、CSRF类型 2.1 按照请求类型分为GET型和POST型。 例: GET型 目标网站A:www.a.com、恶意网站:B:www.b.com 攻击步骤 在恶意网站上编写代码<img src=http://www.a.com/blog/del?id=1&g
模拟CSRF攻击
pan2635376816的博客
07-04 549
一般来说,跨域就是 协议&域名&端口号 有一个不一致就是跨域了,我上面那两个应用端口是不一致的,那不就跨域了吗?谁在阻止跨域?是浏览器处于安全策略阻止非同源请求。事实上,每次跨域请求都是正常发送的,服务端也会正常返回,只是被浏览器拦截了。所以每次请求都会到达服务端。也就是说,至少攻击页面的表单请求是可以发出的,而且由于使用了目标网站认可的cookie,请求会被响应。当浏览器收到服务端响应的数据时,会判断给数据的源和当前页面的源是否同源。针对不同的源,如果后端没有做相应的处理,则会被浏览器过滤。
什么是 CSRF 攻击
热门推荐
点滴
03-28 3万+
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 通常当用户打开了黑客的页面后,黑客有三种方式去实施 CSRF 攻击。 下面我们以极客时间官网为例子,来分析这三种攻击方式都是怎么实施的。这里假设极客时间具有转账功能,可以通过 POST 或 Get 来实现转账,转账接口如下所示: 有了上面的
CSRF攻击详解
weixin_66196770的博客
04-23 294
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。那么为什么呢?
CSRF攻击模拟
weixin_35754962的博客
01-04 148
CSRF 攻击是一种网络攻击,其目的是在用户不知情的情况下让用户执行恶意操作。攻击者会在用户浏览的网站上嵌入恶意代码,当用户访问该网站时,恶意代码就会自动执行。攻击者可以通过这种方式来窃取用户的敏感信息,或者在用户不知情的情况下购买商品或服务。为了防止 CSRF 攻击,网站可以使用验证机制,例如在用户提交表单时要求输入验证码,或者使用令牌机制来验证用户的身份。 ...
csrf攻击 java_Web常见攻击手段-CSRF攻击
weixin_34797871的博客
02-21 204
什么是CSRF攻击?跨站请求伪造(Cross-Site Request Forgery, CSRF),恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求,由于同一浏览器进程下 Cookie 可见性,导致用户身份被盗用,完成恶意网站脚本中指定的操作。尽管听起来跟XSS跨站脚本攻击有点相似,但事实上CSRF与XSS差别很大,XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自...
CSRF攻击原理与解决方法
缘来侍你的博客
02-17 2万+
一、 前言 因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以往我们是从攻击角度分析这种攻击的原理和操作。这次我们给出攻击原理同时,给出CSRF在服务器端的防御的解决方案。CSRF是现代WEB程序要面对的共通性问题,在很多流行的WEB框架中,都会将CSRF的问题直接在WEB框架层面解决。 我们先抛出CSRF这个问题,然后介绍基于时间与签名的防护手段,并且给出的这种防御手段的具体代码实现。过程中使用了Lua语言进行实现功能, LUA是一种容易理解的脚本语言,大家
Flask模拟实现CSRF攻击的方法
09-20
# Flask 模拟实现 CSRF 攻击方法详解 CSRF(Cross Site Request Forgery,跨站请求伪造)是一种网络攻击手段,它利用了用户已经登录并持有有效会话(如 Cookie)的情况,使得攻击者可以在不知情的情况下,通过诱使...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
Python Django框架防御CSRF攻击的方法分析
09-18
下面我们将深入探讨Django如何防御CSRF攻击,以及如何配置和使用这些防御策略。 首先,我们需要了解Django防御CSRF攻击的基本原理: 1. **生成CSRF令牌**:当Django渲染HTML模板时,它会在每个需要防护的POST表单...
CSRF攻击的应对之道
01-30
CSRF(Cross ...然而,该攻击方式并不为大家所熟知,很多网站都有CSRF的安全漏洞。本文首先介绍 CSRF的基本原理与其危害性,然后就目前常用的几种防御方法进行分析,比较其优劣。最后,本文将以实例展示如
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
SpringSecurity的防Csrf攻击实现代码解析
08-24
Spring Security 防 Csrf 攻击实现代码解析 Spring Security 中的 Csrf 攻击防御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法中实现了 Csrf Token 的生成、验证...
在Django中预防CSRF攻击的操作
12-20
CSRF攻击允许攻击者利用受害者的身份执行恶意操作,例如未经授权的资金转移、信息更改等,因此,对于任何处理敏感数据的应用程序来说,防范这种攻击至关重要。 Django通过内置的CSRF保护机制提供了一种简单而有效的...
前端安全:如何防止CSRF攻击
02-24
在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
CSrf攻击-苏醒的巨人
09-16
CSrf攻击-苏醒的巨人
CSRF 攻击 攻击原理
06-11
CSRF攻击的工作原理是攻击者构造一个恶意请求,然后诱导用户访问带有恶意请求的页面。当用户访问该页面时,浏览器会自动发送请求到Web应用程序,由于请求中包含了用户的合法身份认证信息(如cookie等),Web应用程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值