CSRF攻防基础讲解

已于 2024-01-20 18:24:40 修改
阅读量88 收藏
点赞数
文章标签: csrf 前端 服务器
于 2023-01-09 19:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dzqxwzoe/article/details/128611448
版权

CSRF攻击

  • Cross-site request forgery
  • 跨站请求伪造

场景模拟

在用户登录某个网站后,看到某篇文章高兴之余,挥手打字,突然有人发来一个链接,登录者打开链接后什么都没有操作或者只是好奇的点击了某个按钮,在原登录网站评论页多出了一条自己的评论记录???what happened?如果您或者您的朋友发生了这样的事情,那么请第一时间邮件反馈给网站维护者,您大概率可能是被攻击了,而这种攻击就是CSRF,下面逐步介绍其攻击原理和防范措施。

攻击原理

1.用户登录A网站
2.A网站登录成功后返回用户身份信息
3.B网站获取A网站的用户登录身份信息向A网站发起请求,并且携带了A网站的用户身份信息

攻击危害

  • 利用用户登录态* 用户不知情* 完成业务请求* …* 盗取用户资金(转账、消费)* 冒充用户发帖背锅* 个人隐私泄露CSRF 攻击防御
    =========

禁止第三方网站带Cookies

sameSite

samesite是HTTP响应头Set-Cookie的属性之一。它允许您声明该Cookie是否仅限于第一方或者同一站点的访问。SameSite接受下面三个值:

  • LaxCookies允许与当前网页的URL与请求目标一致时发送,并且与第三方网站发起的GET请求也会发送。浏览器默认值。
Set-Cookie: userId=123; SameSite=Lax;
  • StrictCookies只会在当前网页的URL与请求目标一致时发送,不会与第三方网站发起的请求一起发送。
Set-Cookie:userId=123;SameSite=Strict
  • NoneCookie将在所有上下文中发送,即允许跨域发送。使用None时,必须同时设置Secure属性(Cookie只能通过HTTPS协议发送),否则无效。

以下的设置无效:

Set-Cookie: userId=123; SameSite=None

下面的设置有效:

Set-Cookie: userId=123; SameSite=None;Secure

更多用法可以参考阮一峰老师SameSite属性介绍MDN-SameSite,到此读者可能会疑惑 sameSite难道可以解决所有的CSRF攻击吗?答案:当然不是,sameSite受浏览器兼容性的影响,并不能解决防御所有攻击。兼容性列表在MDN的链接中。再按照攻击原理所理解,CSRF的攻击是不经过目标网站的前端的,那么我们是不是可以在此处“动手脚”尼?

在前端页面加入验证信息

验证码

处理思路:后端生成验证码保存并传递给前端;在前端提交表单数据中加入验证码并提交,在后端校验验证码存在和正确与否;

//验证码生成
var captcha = {};
var cache = {};
captcha.captcha = async function (ctx, next) {var ccpa = require('ccap');//验证码生成模块var capt = ccpa();var data = capt.get();captcha.setCache(ctx.cookies.get('userId'), data[0]);ctx.body = data[1]
}
captcha.setCache = function (uid, data) {cache[uid] = data;
}
captcha.validCache = function (uid, data) {return cache[uid] === data;
}
module.exports = captcha; 

//验证码校验
...
const data = ctx.request.body;
if(!data.captcha){
	throw new Error('验证码错误')
}
var captcha = require('../tools/captcha')
var resultCaptche = captcha.validCache(ctx.cookies.get('userId'),data.captche);
if(!resultCaptche){
	throw new Error('验证码错误')
}
...

加入图形验证码对防御攻击可以起到很好的作用,但是每个表单都需要输入图形验证码且还要保证每次输入的验证码都正确。这对于用户来说是非常痛苦的一件事,由此可见这种方式在实际的使用中并不受用,那么有没有其他的更好的方案尼?

token验证

token其实是一段随机的字符串,它的作用是让攻击者发起请求时没有办法获取这个字符串,也就是必须要经过我们的页面,经过目标网站的前端。

  • 在 HTTP 请求中以參数的形式添加一个随机产生的 token,并在服务器端验证这个 token,假设请求中没有token 或者 token 内容不对,拒绝该请求。
  • 在HTTP请求头中,通过axios的配置参数,给所有的fetch请求全部加上Token这个HTTP请求头属性,并把Token值也放入请求头中。
//fetch.js
import axios from 'axios';

function getToken() {return localStorage.getItem('Token') ||'';
}
const fetch = axios.create({timeout: 60000 
});
fetch.interceptors.request.use(config => {config.headers['X-Token'] = getToken(); return config;},error => {closeLoding();Promise.reject(error);}
);
...
export default fetch;

关于Token

1.Token可以保存在localStorage中
2.Token加密且签名
3.Token生成与过期机制
4.将 JSON Web Tokens 应用到 OAuth 2

Referer

  • 验证referer
  • 禁止第三方网站的请求
// 校验代码
const referer = ctx.request.headers.referer;
// 简易防御
if(referer.indexOf('localhost')=== -1){
	throw new Error('非法请求')
}
上面的防御对这个地址是无效的:http:xx.xx.xx?name="张三"&uid='112'&localhost=='哈哈哈'
// 正则表达式防御
if(<img src="https?:\/\/localhost/.test(referer))" style="margin: auto" />
	throw new Error('非法请求')
}

当然这里还要考虑没有referer的情况哈

结语

安全作为系统的壁垒,重要程度不用多说。CSRF攻击更是安全防御的重中之中。本文记录的是笔者在开发过程中遇到的问题及处理的思路。可供有类似问题的读者参考。其他安全方面的文章笔者会持续更新,欢迎各位读者提出意见和建议。

程序员小强_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF——攻击与防御
lake2的专栏
04-02 4万+
CSRF——攻击与防御author: lake20x01 什么是CSRF攻击    CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做,你可以把它想做HTTP会话劫持。    网站是通过cookie来识别用户的,当用户成功进行
CSRF攻击介绍及常用防御手段
yinn
09-22 9390
什么是CSRF攻击CSRF(跨站点请求伪造),就是攻击者诱使用户访问了一个页面,以该用户身份在第三方站点里执行相关操作。 比如:登陆了sohu博客后,只需要请求这个url,就能够吧编号为“156713012”的博客文章删除 http://blog.sohu.com/manage/entry.do?m=delete&id=156713012 攻击者首先在自己的域构造一
彻底理解前端安全面试题(2)—— CSRF 攻击,跨站请求伪造攻击详解,建议收藏(含源码)
qq_17335549的博客
01-02 2280
前端关于网络安全看似高深莫测,其实来来回回就那么点东西,我总结一下就是 3 + 1 = 4,3个用字母描述的【分别是 XSS、CSRF、CORS】 + 一个中间人攻击。当然 CORS 同源策略是为了防止攻击的安全策略,其他的都是网络攻击。除了这 4 个前端相关的面试题,其他的都是一些不常用的小喽啰。我将会在我的《面试题一网打尽》专栏中先逐一详细介绍,然后再来一篇文章总结,预计一共5篇文章,欢迎大家关注~本篇文章是前端网络安全相关的第一篇文章,内容就是 CSRF 攻击
CSRF,SSRF原理,防御
2301_77315080的博客
09-06 432
跨站请求伪造(英语: Cross-site request forgery),也被称为one- click attack或者sessionriding,通常缩写为CSRF或者XSRF;是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
CSRF漏洞防御
一米八多的瑞兹的博客
11-25 3371
1.验证码防御 验证码防御被认为是对抗CSRF最为简单而且有效的防御方法。 CSRF在用户不知情的情况下完成对应操作,而验证码强制用户与应用程序交互,才能最终完成操作。通常情况下,验证码能够很好的遏制CSRF。 出于用户体验考虑,不可能每一个操作都加入验证码。所以验证码只作为辅助手段,不能作为防御CSRF的主要解决方案。 验证码防御也可以被认为是二次验证 2.Referer Check防御 Referer Check主要用于防止盗链。同理也可以用来检查请求是否来自合法的“源”。 比如用户修改密码,一定是在
web安全————CSRF(防御篇)
longger_lee
12-08 911
CSRF防御之验证码      目前,验证码被认为是对抗CSRF攻击最简单有效的防御措施。用到验证码就是在请求过程中强制用户与应用进行交互,但是一个站点、一个好的产品要考虑到用户的体验,显然如果在所有的操作上都加入验证码对用户来说就很不友好。因此验证码只能是一种防御CSRF攻击的辅助手段,并不能成为主要解决方案。      CSRF攻击之Referer check      一个站点
Csrf攻击与防止
热门推荐
八点半技术站
11-05 1万+
CSRF 的全称是“跨站请求伪造”,而 XSS 的全称是“跨站脚本”。看起来有点相似,它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户,但前面说了,它们的攻击类型是不同维度上的分 类。CSRF 顾名思义,是伪造请求,冒充用户在站内的正常操作。 我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ...
CSRF跨站请求伪造介绍和防御方法
投资自己
05-26 4628
一、CSRF介绍CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF攻击与防御,web安全的第一防线。攻击流程:                用户访问恶意网站B,恶意网站B返回给用户的HTTP信息中要求用户访问网站A,而由于用户和网...
CSRF 攻击的应对之道
java旅程
09-06 492
转载自:http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。 **CSRF 攻击实例**
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。
绚烂的天空
12-13 729
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 1、Strict 最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。 Set-Cookie: CookieName=CookieValue; SameSite=Strict; 这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,
csrf 系列之Spring Security中的csrf攻击防护(SameSite属性)
console的博客
05-03 1885
防止CSRF攻击的一种新方法是在cookie上指定`SameSite`属性。服务器可以在设置cookie时指定SameSite属性,以表明当来自外部站点时不应该发送cookie。
Web系统常见安全漏洞介绍及解决方案-CSRF攻击
java后端开发的博客,不仅仅是后端开发
07-05 2277
CSRF跨站请求伪造,全称Cross-site request forgery,是指利用受害者尚未失效的身份认证信息操作他们的账户以进行非法操作。
防御CSRF的第四种方法?
weixin_34132768的博客
07-30 534
2019独角兽企业重金招聘Python工程师标准>>> ...
CSRF漏洞
qq_41048303的博客
03-04 701
CSRF漏洞 1.如何测试csrf漏洞 对目标站点增删改查的地方进行标记,并观察逻辑,判断请求是否可以伪造 # 手工测试 若本次操作中存在csrf token参数,或存在验证码等防御行为,则不存在csrf漏洞。若将数据包中的referer字段去掉,或仅仅删除referer字段的值,重新发送得到服务器的正确受理,那么可认为存在csrf漏洞。 2.攻击流程 # 受害者登录了目标网站 # 攻击者向受害者发送恶意链接 # 受害者点击链接, 链接中的js代码执行, 向目标网站发送某个请求 # 由于用户已登录,
Django | 从中间件的角度理解跨站请求伪造(Cross-Site Request Forgey)[CSRF攻击]
HG0724的博客
08-14 340
Django在一定的运算下比对两个暗号 是一致的 就不会发生403错。网页报错403,CSRF验证失败,同时给出了我们具体的解决方案。到这里,你应该进一步理解了CSRF攻击的原理了吧。是CRSF能否验证通过 的关键。我们通过一个案例来理解。
JAVA-WEB资源配置
最新发布
caryeko的专栏
08-15 191
用JAVA进行编写WEB项目时,我们一般需要对WEB进行统一配置,例如制定拦截路径、页面解析器、跨域配置、fastjson报文解析、文件上传大小配置等。
使用WebSocket实现一个简易的聊天室
qq_51321722的博客
08-14 404
其次,要有相关配置类以及Controller。我这里的框架是SpringBoot。首先,我们要有一个前端页面。
vue2前端阿里云oss服务端签名直传
weixin_74285634的博客
08-13 293
generatePresignedUrlApi是由后端提供的接口 来获取密钥。
提升前端性能的JavaScript技巧
han2434的博客
08-14 799
一个快速响应、高效运行的Web页面不仅能提升用户体验,还能在一定程度上影响网站的SEO排名。本文汇总了一系列JavaScript技巧,以帮助开发者提升前端性能,并提供实际的代码示例。
黑客攻防基础教程:VMware workstation入门
7. **Web安全**:基础的Web应用安全概念,如SQL注入、跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理和防御方法。 8. **网络嗅探与数据包分析**:学习使用Wireshark等工具捕获和分析网络流量,识别潜在的安全威胁。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值