通过jquery读cookie添加xsrf HTTP头来避免请求伪造

最新推荐文章于 2024-04-14 22:43:55 发布
最新推荐文章于 2024-04-14 22:43:55 发布
阅读量4.7k 收藏
点赞数
分类专栏: 网站架构 文章标签: cookie jquery 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/effevov5/article/details/49512165
版权

问题前因

如果用户已经登录了我们的a.com网站,用户又打开了一个恶意网站 evil.com,那么evil.com可以向a.com发送http请求,比如发送ajax,并且在发送时,可以通过设置ajax的属性,让这个请求带上a.com的cookie。
这样的话问题就来了,这个请求被a.com网站看来是合法的,并进行处理,但这个请求可能是伪造的并不是用户的本意

如何破?

方法一:

对每一个http请求都加一个“隐藏”参数,服务器处理请求时,校验这个参数。这个方法要求我们开发人员都要改代码,给每一个请求(比如表单提交)填一个隐藏参数,耗人力。

方法二:

用户登录时,给用户session中生成一个随机数,并把这个随机数写到浏览器的cookie中,

req.session.xsrfToken = req.session.xsrfToken || secret.getRandomToken();
res.cookie("XSRF-TOKEN", req.session.xsrfToken, { path: '/' });

以后的所有jquery ajax请求中,利用如下代码填上一个X-XSRF-TOKEN头:

//全局配置jquery ajax请求填上防止跨域请求伪造的http头X-XSRF-TOKEN
if (window.$ && window.$.ajaxSetup) {
   $.ajaxSetup({
        beforeSend: function (xhr) {
        var match = window.document.cookie.match(/(?:^|\s|;)XSRF-TOKEN\s*=\s*([^;]+)(?:;|$)/);
        xhr.setRequestHeader("X-XSRF-TOKEN", match && match[1]);
        }
        });
}

服务器收到请求后,统一检查此http头和用户session的随机数是否一致

我们node服务器的检查代码如下:

if (req.session.xsrfToken && req.session.xsrfToken !== req.headers['x-xsrf-token']) {
            res.send(403, 'no x-xsrf-token'); //以后去掉这个错误提示
            return;
        }

effevo技术团队出品 (https://effevo.com
这里写图片描述

effevo团队协作平台
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS安全问题之XSRF(CSRF)
qq_25503949的博客
07-21 840
JS安全问题之XSRF(CSRF) 一.什么是CSRF: img标签可以直接跨域传递用户信息 二.如何预防: 为啥使用post接口:因为,使用post接口,进行跨域请求很困难,简单地用img标签肯定实现不了,因为需要后端的配合。 三.面试题 XSS和CSRF的区别: xss:跨站点攻击。xss攻击的主要目的是想办法获取目标攻击网站的cookie,因为有了cookie相当于有了session,有了这些信息就可以在任意能接进互联网的PC登陆该网站,并以其他人的身份登陆做破坏。预防措施防止下发界面显示htm
Django CSRF跨站请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
通过Postman进行post请求时传递X-XSRF-TOKEN
weixin_30664539的博客
08-29 335
前言介绍 这段时间一个项目后端用的是laravel。在写API接口时通过Postman6进行测试。但是在测试后形式的接口时laravel自带了CSRF验证机制。这就很尴尬了... 所以我们的目的在使用Postman通过XSRF的验证,以测试POST的请求。还是以laravel为例子,Laravel会返回到浏览器的GET请求时将XSRF-TOKEN写在cookie中。因此我们需要从cookie中...
CSRF是什么
最新发布
套路猿的博客
04-14 3757
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取
Jmeter学习和一个关于jmeter获取X-XSRF-TOKEN时的坑
weixin_56039103的博客
08-07 1605
所以整理之后的脚本进行合理的调整后应该长这样:其中的每个部件:(1)全局HTTP Cookie管理器(2)全局HTTP请求头(3)登录前置事务管理器、边界表达式提取器登录前置事务管理器边界表达式提取器(4)登录事务管理器、登录请求头、json提取器登录事务管理器登录请求头json提取器(5)业务事务管理器、业务请求头业务事务管理器业务请求头(6)结果树。
为什么XSRF-TOKEN可以用于防止跨站请求伪造(CSRF或XSRF)攻击
m0_57236802的博客
08-13 1865
在发送到服务器的每个非简单请求(例如 POST 请求)中,客户端应用程序还必须以某种方式(如请求头或表单字段)将该 token 包括进去。因此,即使攻击者能够诱使用户的浏览器对目标站点发起请求,由于他们不能在请求中包括有效的 token,所以该请求将被服务器拒绝。用于防止跨站请求伪造(CSRF 或 XSRF)攻击的原理在于,它为每个会话提供了一个唯一的、难以预测的 token。:对于每个涉及潜在副作用的请求(例如修改、添加或删除数据的请求),服务器都会检查附带的。
flask-xsrf:烧瓶扩展,用于防御跨站点请求伪造攻击(XSRFCSRF)
05-18
烧瓶-xsrf 扩展,通过为每个请求使用唯一生成的令牌来保护flask请求端点,从而防御跨站点请求伪造攻击 。 烧瓶PYTHON X射线荧光光谱仪 建立状态分支服务地位服务标题地位master ci-build github tags develop ci-...
DneustadtCsrfCookieBundle:Symfony捆绑包,可为客户端应用程序提供跨站点请求伪造(CSRF或XSRF)保护
02-04
该捆绑包为客户端应用程序提供(CSRF或XSRF)保护,该客户端应用程序通过XHR请求由Symfony提供的端点。 在很大程度上受到影响和启发 要求 Symfony> = 5.x 工作方式 为了存储CSRF令牌客户端,可以通过一个或多个预定...
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)...
XSRFProbe:主要跨站点请求伪造(CSRF)审核和利用工具包
05-03
主要跨站点请求伪造审核和利用工具包。 关于: XSRFProbe是高级的(CSRF / XSRF)审核和利用工具包。 配备了功能强大的搜寻引擎和许多系统的检查功能,它能够检测大多数CSRF漏洞,其相关的绕过情况,并进一步针对每...
[Java爬虫]利用jsoup爬虫实现网站自动签到--举例B站、CSDN、某库自动签到与通过反爬手段解决XSRF-TOKEN验证
qq_41873771的博客
07-30 1539
之前就常常使用jsoup方法写爬虫,也爬过很多国内外有的没的资源,因为可以应对大部分静态页面与大部分接口,可以说十分方便,当然因人而异各有所好的工具和方法 本篇文章教大家使用jsoup方法实现自动签到功能(当然这个方法十分简单,但简单的同时也很便捷)
网络爬虫中X-CSRF-Token和Status 403问题解决方案(Java或Python)
qy20115549的博客
08-03 6887
本文作者:合肥工业大学 电子商务研究所 钱洋 email:1563178220@qq.com 。 内容可能有不到之处,欢迎交流。 未经本人允许禁止转载。 文章目录问题情景1和解决方案问题情景2和解决方案 问题情景1和解决方案 **在很多POST请求中,经常会加入一些字段来控制会话或者数据的表单提交。**例如,在京东的模拟登陆中,并不是你在Java或者python程序中,直接输入用户名密码就能登陆成...
jQuery允许携带cookie,解决跨域
热门推荐
Ambitiouss的博客
04-03 1万+
首先描述下出现跨域问题的情况 以下几种情况可能会有跨域问题: 1、协议不同,例如: httphttps 2、ip不同,例如localhost、、127.0.0.1、、你的本机IP(例如:192.168.12.xxx) 3、端口(8080、、9003) 这些都可能会导致跨域问题。 我在做的这个项目,整个项目前后端都是靠sessionID会话的,如果我给你返回的session你不带回来的话,我会认为...
axios详细配置说明
yrfjygb的博客
03-01 2505
url: ‘/user’ url是将用于发送请求 method: ‘get’, 默认值 get 设置请求类型,get/post baseURL: ‘https://some-domain.com/api/’ 基本地址 ,发送请求的地址=baseURL+url transformRequest: [function (data, headers) {return data;}] transformRequest`允许在将请求数据发送到服务器之前对其进 行更改 仅适用于请求方法'PUT','POST
jQuerycookie的相关简单操作
weixin_44151292的博客
04-18 2483
项目中用到了,简单记录以下 记得引入cookie相关的js <script src="resource/js/jquery.js"></script> <script src="resource/js/jquery.cookie.js"></script> 1、设置cookie $.cookie("name",name) 2、获取cookie //用jquery封装cookie的方式获取cookie var username = $.cook
CSRF 攻击的三种解决方案
willie_chen的专栏
08-23 1万+
验证 HTTP Referer 字段 Referer  是  HTTP  请求header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里有包含  Referer  , Referer 值会记录下用户的访问来源,有些用户认为这样会侵犯到他们自己的隐私权,特别是有些组织担心 Referer 值会把组织内网中的某些信息泄露到外网中。因此,用户自己可以设置浏览器使其在发...
教你轻松解决CSRF跨站请求伪造攻击
华为云官方博客
04-21 4745
CSRF(Cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
Http协议的理解和使用,httpRequest,XmlHttpRequest,csrf
qq_37849776的博客
03-21 1737
本文并非原创,ctrl+C+V,转载自https://www.cnblogs.com/ranyonsue/p/5984001.html HTTP简介 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。 HTTP是一个基于TCP/IP通信协议来传递数据(...
客户端支持防止csrf/xsrf(跨域请求伪造)
09-15
客户端支持防止CSRF/XSRF(跨站请求伪造)的方法主要包括以下几种: 1. 验证码:在敏感操作如支付、修改密码等环节,向用户发送验证码,要求用户输入正确的验证码后才允许进行操作。这样可以有效防止CSRF攻击,因为攻击者无法获取有效的验证码。 2. Token验证:在用户登录时生成一个随机的Token,并将其储存在Session或Cookie中,每次向服务器发起请求时都需要将该Token一同发送。服务器接收到请求后会校验Token的合法性,如果无效则拒绝该请求。这可以防止CSRF攻击者盗用用户身份发起恶意请求。 3. Referer检查:在HTTP头部中会包含Referer字段,用于表示请求来源。服务器可以根据Referer字段的值判断请求是否来自合法来源,如果不是则拒绝请求。但需要注意的是,Referer字段不是必须的,而且可能被篡改,因此这种方法并不是绝对可靠。 4. SameSite Cookie属性:使用SameSite属性可以限制Cookie的发送,使其只在同一站点下请求时才会被发送。这样可以防止跨域请求Cookie的被盗用。但需要注意的是,SameSite属性支持程度不同浏览器有所差异,不同浏览器可能需要额外的配置或使用其他方法来提供更好的保护。 总体而言,以上几种方法并非绝对安全,各自有一定的局限性。因此,最好的防范方法是综合使用多种防护措施,加强客户端和服务端的安全防护。此外,开发人员还应持续关注最新的安全技术和漏洞情报,及时更新和修复系统,确保用户数据的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值