CSRF Token为什么写在Cookie中?CSRF漏洞分析

最新推荐文章于 2024-03-16 16:08:11 发布
最新推荐文章于 2024-03-16 16:08:11 发布
阅读量599 收藏 1
点赞数
文章标签: csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn1csdn1/article/details/133959542
版权

1. 什么是CSRF?

CSRF或XSRF,跨站请求伪造。简单地说,就是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。

在这里插入图片描述

这里最最关键的因素是令牌。用户在网站A登陆成功后,服务端颁发令牌并存储到浏览器中。客户端存储令牌方式主要2种:Cookie、Localstorage。只有令牌存储在Cookie中才能利用CSRF攻击。
在这里插入图片描述

令牌的存储方式有两种:
第一种存储到客户端的Cookie中,存储到Cookie中大部分是基于浏览器作为客户端的业务。
第二中存储到LocalStorage中,存储到LocalStorage大部分是基于APP或者小程序内置的LocalStorage。
Cookie和LocalStorage的区别在于,用户访问同源站点的时候,Cookie会默认携带发送给服务端,而localStorage不会。就是说,客户端发送请求的时候,不需在请求中设置Cookie,请求过程会自动从客户端Cookie中获取。而令牌存储在localStorage中,客户端需要先从localstorage中获取令牌,并添加到请求头中。

2. CSRF Token的校验规则

因为同源策略的限制,当正常用户通过账号密码等方式登陆网站A后,在不注销账号或当前Cookie失效之前,再次访问网站A时(协议、IP、端口号相同则属于同源)浏览器会自动在http请求包中带上该网站用户登陆后的Cookie信息。
服务器进行CSRF防御校验的时候,是拿用户http请求体中的token参数值和Cookie中的csrftoken值进行比对。如果值一样了,操作才被允许执行。

3. HTTP复杂请求

大部分前后端分离的项目,前端都是发起复杂请求的。Content-Type:application/json,或者有自定义的Header头都属于复杂请求。
同源策略要求复杂请求必须先进行预检(OPTIONS)请求,预检通过了才能进行POST请求。预检请求会询问服务端:允许的请求源,是否允许携带Cookie,允许的请求方式(POST、PUT、DELETE等),允许的Header头字段。可以通过Nginx设置,也可以通过服务端程序设置。

4. CSRF Token为什么可以写在Cookie中?

CSRF Token写在Cookie中,攻击者不就获取到Token了,那防御不就失效了吗?
在此攻击过程中用户Cookie对于攻击者来说是不可见的是未知的、不可见的,攻击者能做到仅仅是借用Cookie,而Cookie里面具体写了什么,攻击者是不知道的。又因为Cookie里的信息对于攻击者来说是不可预知的,无法伪造的,所以将CSRF-TOKEN写在Cookie中符合就CSRF防御思想中的不可预知原则。

5. 跨域请求之简单请求和复杂请求

为了从源头上解决这个问题,Google公司起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cookie只能作为第一方Cookie,不能作为第三方Cookie,Samesite 有两个属性值,分别是 Strict 和 Lax。

Samesite=Strict

这种称为严格模式,表明这个 Cookie 在任何情况下都不可能作为第三方 Cookie,绝无例外。比如说 b.com 设置了如下 Cookie:

Set-Cookie: foo=1; Samesite=Strict
Set-Cookie: bar=2; Samesite=Lax
Set-Cookie: baz=3

我们在 a.com 下发起对 b.com 的任意请求,foo 这个 Cookie 都不会被包含在 Cookie 请求头中,但 bar 会。举个实际的例子就是,假如淘宝网站用来识别用户登录与否的 Cookie 被设置成了 Samesite=Strict,那么用户从百度搜索页面甚至天猫页面的链接点击进入淘宝后,淘宝都不会是登录状态,因为淘宝的服务器不会接受到那个 Cookie,其它网站发起的对淘宝的任意请求都不会带上那个 Cookie。

Samesite=Lax

这种称为宽松模式,比 Strict 放宽了点限制:假如这个请求是这种请求(改变了当前页面或者打开了新页面)且同时是个GET请求,则这个Cookie可以作为第三方Cookie。比如说 b.com设置了如下Cookie:

Set-Cookie: foo=1; Samesite=Strict
Set-Cookie: bar=2; Samesite=Lax
Set-Cookie: baz=3

当用户从 a.com 点击链接进入 b.com 时,foo 这个 Cookie 不会被包含在 Cookie 请求头中,但 bar 和 baz 会,也就是说用户在不同网站之间通过链接跳转是不受影响了。但假如这个请求是从 a.com 发起的对 b.com 的异步请求,或者页面跳转是通过表单的 post 提交触发的,则bar也不会发送。

需要注意的是,这个SameSite属性是Google家的东西,也就是可能存在别的浏览器不兼容的情况,所以还需要别的方案作辅助验证——双重Cookie验证。

6. 双重Cookie验证

利用CSRF攻击不能获取到用户Cookie的特点,我们可以要求Ajax和表单请求携带一个Cookie值。
双重Cookie验证流程:

  1. 在用户访问网站页面时,向请求域名注入一个Cookie,内容为随机字符串(例如csrfcookie=db4d8d15945941e5b48d6c1626b52eb4b)。
  2. 在前端向后端发起请求时,取出Cookie,并添加到URL的参数中(接上例POST https://www.a.com/comment?csrfcookie=db4d8d15945941e5b48d6c1626b52eb4b)。
  3. 后端接口验证Cookie中的字段与URL参数中的字段是否一致,不一致则拒绝。
高过蓝天的云
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
1、在Django提交表单时报错:Django提交表单报错: CSRF token missing or incorrect 具体报错页面如下: 2、有道词典翻译后如下: 通常,当存在真正的跨站点请求伪造时,或者Django的CSRF机制没有被正确使用时,就会出现这种情况。至于邮递表格,你须确保: 您的浏览器正在接受cookie。 视图函数将一个请求传递给模板的呈现方法。 在模板,每个POST表单都有一个{% csrf_token %}模板标记,目标是一个内部URL。 如果您没有使用CsrfViewMiddleware,那么您必须在任何使用csrf_token模板标签的视图以及那些接
superagent-django-csrf:修补程序,将cookie的`csrftoken`作为X-CSRFToken`标头添加到每个超级代理的请求
05-02
superagent-django-csrf 补丁加csrftoken从饼干作为X-CSRFToken头球每个SuperAgent的要求。 用法 // Just require patch require ( 'superagent-django-csrf' ) ; 安装 npm install superagent-django-csrf 执照 麻省理工学院:copyright:
cookies为什么会有csrf风险,为什么token可以避免
最新发布
qq_44705614的博客
03-16 431
如果使用token,因为token可以不放在cookie里面,在发送请求时经过前端程序处理才可以把token放到请求参数,所以在直接请求伪造的地址时,浏览器会自动让请求携带cookie,但是没经过前端的操作,请求不会携带token,服务器没有验证token,就会拦截不服务。当浏览器发送请求且浏览器存在 Cookie 且同源不跨域时,浏览器会自动在请求头携带上 Cookie 数据。所以浏览器对csrf背锅,即利用的是网站对用户网页浏览器的信任。CSRF 利用的是网站对用户网页浏览器的信任。
cookie、session、token详解
kagurawill的博客
08-29 343
发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时间很嗨皮 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪...
Cookie Session Token讲解及用法
weixin_59915237的博客
08-07 3232
Cookie Session Token讲解及用法
cookie session token总结
dabaoting的博客
02-27 178
cookie session token总结发展史一、cookie1.cookie简介2.cookie特点2.1 由浏览器来管理2.2 不可跨域名2.3 文需要编码2.4 可保存二进制图片2.5 读取cookie3. cookie常用属性3.1 maxAge 有效期3.2 secure 安全属性二、session1.session简介2.session生命周期3.常用属性3.1 maxInactiveInterval 超时时间4.需要浏览器客户端的支持4.1 cookie存储JSESSIONID4.2
CSRF攻击及防止
zhangmoyan9527的博客
08-14 1000
  CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。   CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证   防止 CSRF 攻...
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 2万+
一、CSRF是什么? CSRF(Cross-site request forgery),文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
【笔记】Python3|爬虫请求 CSRF-Token 时如何获取TokenToken过期、处理 CSRF-Token 需要注意的问题及示例
qq_46106285的博客
03-19 7012
注意CSRF-Token可能也在响应头,以及requests请求的时候要用Session,不然就会过期。
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5666
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个token值Ant上CSRFtoken)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
CSRF 攻击的应对之道
sarck3的专栏
02-12 1034
简介: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析
安全开发 | 如何让Django框架CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
在Django预防CSRF攻击的操作
12-20
1. 在客户端向后端请求界面数据的时候,后端会往响应cookie 设置 csrf_token 的值 2. 在 Form 表单添加一个隐藏的的字段,值也是 csrf_token 3. 在用户点击提交的时候,会带上这两个值向后台发
Flask模拟实现CSRF攻击的方法
12-24
1.在客户端向后端请求界面数据的时候,后端会往响应cookie 设置 csrf_token 的值 2.在 Form 表单添加一个隐藏的的字段,值也是 csrf_token 3.在用户点击提交的时候,会带上这两个值向后台发起请求
Http会话保持机制:Cookie、Session和Token
何哥的博客
03-25 6284
前言:因为http本身是无状态协议,这样,无法确定你的本次请求和上次请求是不是你发送的。如果要进行类似论坛登陆相关的操作,就实现不了。Http会话持久是Web程序常用的技术,用来跟踪用户的整个会话。以前常用的会话跟踪技术是Cookie与Session,现在可以用Token机制。 一、session和cookie的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时,服务器会验证用户数据,验证成功后在服务器端入session数据,向客户端浏览器返回sessionid,浏览器将sessio
CSRFCookie、Session和token之间不得不说得那些事儿
besmarterbestronger的博客
10-14 4950
文章目录1. 前言2. 什么是crsf?如何防止3. 什么是cookie?有什么用?机制?4. 什么是session?有什么用?机制?5. 什么是token?有什么用?为什么能防止csrf?6. 总结7. 参考文献 1. 前言 2. 什么是crsf?如何防止 3. 什么是cookie?有什么用?机制? 4. 什么是session?有什么用?机制? 5. 什么是token?有什么用?为什么能防止cs...
会话技术及用户认证-Cookie、Session与 Token
dlut_ppp的博客
04-03 452
前言 最早互联网只是用于简单的浏览文档信息、查看黄页及门户网站等等,并没有交互这个说法。但是随着互联网慢慢发展,宽带、服务器等硬件设施得到了很大的提示,互联网允许人们可以做更多的事情,所以交互式Web逐渐兴起,而HTTP无状态的特点却严重阻碍了其发展。 HTTP 是无状态的协议,每个请求都是完全独立的(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息)。也就是说,无法根据之前的状态进行本次的请求处理——服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次
一文带你了解CSRFCookie、Session和token,JWT之间的关系
大河之犬的博客
09-15 993
所以存在被盗用的风险。比如在银行里转账,银行页面上的转账请求链接,是银行服务器那边生成的链接,所以那边是可以在请求里面就加上你客户端的token的,但是钓鱼网站无法得到你的token,钓鱼网站仿造的转账请求链接是无法把token入的,所以就无法生效。意思是,客户端打开了钓鱼网站,却在不知情的情况下,发送了一个请求给淘宝,这个请求有可能是转账,付款等等,因为是客户端发出的请求,所以客户端会带上自己的cookie,这样就可以请求成功。基于token的验证是无状态的,这也许是它相对cookie来说最大的优点。
带你细品Cookie、Session和Token的区别
HELLO WORLD
11-26 205
Cookie Cookie的特性 会话数据保存在浏览器客户端 Cookie的底层实现原理 服务器创建cookie对象,把会话数据存储到cookie对象。 new Cookie("name","value"); 服务器发送cookie信息到浏览器 response.addCookie(cookie); 浏览器从响应头得到服务器发送的Cookie然后保存到浏览器本地。 服务器...
你的回答csrftoken是什么
06-12
`csrftoken`是Django框架用于防止跨站请求伪造攻击(Cross Site Request Forgery, CSRF)的一种防御机制,它是一种基于cookie和表单的方式来防止恶意的跨站请求。 在Django,当用户登录系统时,Django会在HTTP响应添加一个名为`csrftoken`的cookie,同时在每个POST请求的表单添加一个名为`csrfmiddlewaretoken`的隐藏字段,该字段包含与`csrftoken`相同的值。当浏览器向Django发送POST请求时,Django会检查请求的`csrfmiddlewaretoken`值是否与`csrftoken`的值相同,以此来判断请求是否可信。 在前端代码,我们需要获取`csrftoken`的值,并在发送POST请求时将其添加到请求头,以确保请求通过Django的CSRF验证。我之前提到的在Vue使用axios发送POST请求的示例,我们需要从Django响应的cookie获取`csrftoken`的值,并将其添加到请求头

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值