9. CSRF

最新推荐文章于 2024-09-23 11:21:26 发布
最新推荐文章于 2024-09-23 11:21:26 发布
阅读量254 收藏
点赞数
分类专栏: yii2.0 文章标签: xsrf csrf 
CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,
通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,
并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。
与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,
所以被认为比XSS更具危险性。
1.CSRF get 
2.CSRF post

1. CSRF 防范:

1.验证码 

 用户体验不好

2. refer 头

有些请求不带 refere 头

3. 随机防伪标识

服务器在处理请求时,会返回一串防伪标识。
客户端把防伪标识 放在表单,再把这个标示在请求中发送给服务器。
服务器进行验证。

2. YII CSRF 防范:

 public function actionTest2()
    {
        if (\Yii::$app->request->isPost) {
            $title = \Yii::$app->request->post('title');
            echo $title;
        } else {
            $csrf = \Yii::$app->request->csrfToken;
            return $this->renderPartial('test2', ['csrf' => $csrf]);
        }
    }
<form action="" method="post">
    <input type="text" name="title" value="hello,world"/>
    <input type="hidden" name="_csrf" value="<?php echo $csrf; ?>">
    <input type="submit" value="提交"/>
</form>

这里写图片描述

过程:

csrf 一般放在 session, 但这个问题是服务器内存会越来越多。
yii 会在 浏览器 放一份 经过加密的 csrf, 请求时发送给服务器,并与form 表单中的csrf 对比,相同也会通过验证

这里写图片描述
这里写图片描述

这里写图片描述

enlyhua
关注
专栏目录
Docker Tomcat 部署War, Manager 管理员账号和密码设置,org.apache.catalina.filters.CSRF_NONCE
faceqq的博客
07-07 985
docs examples host-manager manager 2. pull拉取镜像 3. 直接运行镜像版本如果本地没有会自动拉取,可以忽略2 –rm 容器停止的时候自动删除,这里我们不加–rm 参数如果有配置需要修改需要提交容器,则不能让容器在停止的时候删除。 –name 指定容器的名称 -p 8080:8080 映射宿主机8080 到容器8080 此时是不能访问manager的,根据上面的提示在conf的 tomcat-user.xml下配置访问用户 5. 进入容器修改t
Django 中CSRF中间件 'django.middleware.csrf.CsrfViewMiddleware',
weixin_33971130的博客
04-03 693
1、Django中CSRF中间件的工作原理及form表单提交需要添加{% csrf_token %}防止出现403错误 CSRF # 表示django全局发送post请求均需要字符串验证功能:防止跨站请求伪造的功能工作原理:客户端访问服务器端,在服务器端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器端时,服务器端会到客户端查找先前返回的字符串,如果找到则继续,找...
29.CSRF及SSRF漏洞案例讲解
mingyqf的博客
12-30 3413
CSRF&SSRF】—漏洞案例讲解—day29 一、CSRF—跨站请求伪造攻击 1、解释 CSRF漏洞解释,原理 CSRF(Cross-site request forgery) 跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 XSS 利用站点内内的信任用户,盗取cookie CS
详解Django的CSRF认证实现
zcg359670476的博客
12-16 378
什么是 CSRF CSRF, Cross Site Request Forgery, 跨站点伪造请求。举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。 1.csrf原理 csrf要求发送post,put...
71. Django 前后端分离csrf token获取方式
DevOps海洋的渔夫@专栏
11-11 3439
需求一般Django开发为了保障避免 csrf 的攻击,如果使用Django的模板渲染页面,那么则可以在请求中渲染设置一个csrftoken的cookie数据,但是如果需要前后端分离,...
白帽子讲Web安全(第 4 章 跨站点请求伪造( CSRF ))
sports-boy的博客
08-06 193
第 4 章 跨站点请求伪造( CSRFCSRF 的全名是 Cross Site Request Forgery,翻译成中文就是跨站点请求伪造。 4.1 CSRF 简介 4.2 CSRF 进阶 4.2.1 浏览器的 Cookie 策略 攻击者伪造的请求之所以能够被搜狐服务器验证通过,是因为用户的浏览器成功发送了 Cookie 的缘故。 浏览器所持有的 Cookie 分为两种: “ Session Cookie ”,又称“临时 Cookie ”,保存在浏览器进程的内存空间中; “ Third-party
jenkins升级导致csrf问题报错403
须尽欢的博客
10-29 3796
问题: 由于将jenkins由2.204升级到2.249,调用接口报错,错误如下 2020-10-29 06:11:32.708+0000 [id=9] WARNING hudson.security.csrf.CrumbFilter#doFilter: Found invalid crumb 62600442318862ac61c4c41c1f5de02c60b5de666a13a04d1212be85c8e64a70. If you are calling this URL with a script,
spring security 处理CSRF
singkingcho的专栏
12-18 1020
csrf概念 英文全称叫做: cross-site request forgery,翻译过来叫做跨站请求伪造。spring security默认情况下是开启了csrf保护的。所谓的CSRF一般会在用户做了某个动作之后附加了一些额外动作。 csrf工作机制 往往是利用用户在某个系统中已经登录过,其具有一些服务器操作资源的权限,攻击者利用伪造的链接或其它骗用户完成某个操作,而这个操作会偷偷和该用户可操作的系统交互。 一个简单的示例图 如何解决 根本问题在于,我们必须要确定这个行为是不是由本身客户端发出的,而
一次jenkins崩溃记录
ysh19911011的博客
06-17 392
一直平稳运行,之前升级过一次版本之后,再未升级过版本。偶有崩溃,但主要是内存问题导致。参考i:https://www.cnblogs.com/guohong-hu/p/14519220.html。最新的插件跟当前jenkins版本不匹配,当前jenkins版本不适合升级,未解决。jenkins安装目录下config.xml找到如下配置,设置值为true。版本:Jenkins 2.347。
9、CSRF原理.pdf
10-15
CSRF攻击原理 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击类型,它利用用户对网站的信任,通过欺骗用户浏览器,执行非法操作。以下是CSRF攻击的原理和防御方法: CSRF攻击原理 1. 用户...
csrf cookie ajax,django/jquery/Django REST FrameWork AJAX 请求返回detail: CSRF Failed: CSRF cookie not ...
weixin_42318225的博客
08-06 552
背景:django 1.11.6Django REST FrameWork 3.7.3使用jquery发送ajax请求,请求方法为get,可以正常运行,请求方法为post提示错误信息:"403Forbidden"-"detail:CSRFFailed:CSRFcookienotset"解决思路Followed https://docs.djangoproject.com/ko/1...
Spring上传时报Invalid CSRF Token错误解决方案
目尽地平线
04-16 6936
使用spring security之后,默认上传文件会报这个错,解决方案有下面两个:一、 将 MultipartFilter 放在 springSecurityFilterChain 前面;二、在form的action属性里加上 CSRF token
Jenkins—在windows环境搭建Jenkins环境 并构建部署到本地Tomcat中
~_~的博客
07-22 2207
巨人的肩膀 Jenkins「第一节」-win10环境tomcat部署 高版本Jenkins关闭跨站请求伪造保护(CSRF) 场景 需要在Windows台式机上搭建Jenkins环境,构建并部署项目到本地tomcat。因该台式机放在公司局域网内,为了方便研发和测试人员构建,需要在该台式机上搭建Nginx并对jenkins进行反向代理。 需要预先完成的操作 为了方便看官,特将相关资源在百度云分享: 链接:https://pan.baidu.com/s/1swd45m7V7f-O8NHFvK3QNw 提取码:1
CSRF中级防御绕过
zhuge_long的专栏
09-23 170
1)回顾low级别做过csrf页面的密码重置,重复之前的操作,我们发现级别调整中级之后,报错如下。
CSRF高级防御绕过
zhuge_long的专栏
09-23 243
1)回顾low级别做过csrf页面的密码重置,重复之前的操作,我们发现级别调整中级之后,报错如下。4)发现参数中有user_token,所以就去查看页面元素,发现了一个隐藏的input。8)登录后,访问xss-store,触发js。3)在dvwa-csrf页面上,抓包。
基于HTML和Java的2021年NBA球星信息管理系统设计源码
09-28
本项目是一款基于HTML和Java开发的NBA球星信息管理系统源码,共包含84个文件,涵盖23个Java源文件、23个JPG图片文件、10个ICO图标文件、9个HTML页面文件、5个属性文件、4个PNG图片文件、2个XML配置文件、2个SQL数据库文件、1个Git忽略文件和1个JAR库文件。该系统专注于管理2021年NBA球星的相关信息,旨在提供高效的信息管理解决方案。
基于IPv6的智能机器人园区异常情况监测系统,包括无线传感器网络、智能巡
09-28
基于IPv6的智能机器人园区异常情况监测系统,包括无线传感器网络、智能巡检机器人、监控数据服务器、主_ipv6intellmonitrsystem
广东省住房城乡建设厅注册类相关系统整合及数据治理项目需求Word(26页).doc
最新发布
09-28
数据治理是确保数据准确性、可靠性、安全性、可用性和完整性的体系和框架。它定义了组织内部如何使用、存储、保护和共享数据的规则和流程。数据治理的重要性随着数字化转型的加速而日益凸显,它能够提高决策效率、增强业务竞争力、降低风险,并促进业务创新。有效的数据治理体系可以确保数据在采集、存储、处理、共享和保护等环节的合规性和有效性。 数据质量管理是数据治理中的关键环节,它涉及数据质量评估、数据清洗、标准化和监控。高质量的数据能够提升业务决策的准确性,优化业务流程,并挖掘潜在的商业价值。随着大数据和人工智能技术的发展,数据质量管理在确保数据准确性和可靠性方面的作用愈发重要。企业需要建立完善的数据质量管理和校验机制,并通过数据清洗和标准化提高数据质量。 数据安全与隐私保护是数据治理中的另一个重要领域。随着数据量的快速增长和互联网技术的迅速发展,数据安全与隐私保护面临前所未有的挑战。企业需要加强数据安全与隐私保护的法律法规和技术手段,采用数据加密、脱敏和备份恢复等技术手段,以及加强培训和教育,提高安全意识和技能水平。 数据流程管理与监控是确保数据质量、提高数据利用率、保护数据安全的重要环节。有效的数据流程管理可以确保数据流程的合规性和高效性,而实时监控则有助于及时发现并解决潜在问题。企业需要设计合理的数据流程架构,制定详细的数据管理流程规范,并运用数据审计和可视化技术手段进行监控。 数据资产管理是将数据视为组织的重要资产,通过有效的管理和利用,为组织带来经济价值。数据资产管理涵盖数据的整个生命周期,包括数据的创建、存储、处理、共享、使用和保护。它面临的挑战包括数据量的快速增长、数据类型的多样化和数据更新的迅速性。组织需要建立完善的数据管理体系,提高数据处理和分析能力,以应对这些挑战。同时,数据资产的分类与评估、共享与使用规范也是数据资产管理的重要组成部分,需要制定合理的标准和规范,确保数据共享的安全性和隐私保护,以及建立合理的利益分配和权益保障机制。
ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity.authorizeRequests(); permitAllUrl.getUrls().forEach(url -> registry.antMatchers(url).permitAll()); httpSecurity // CSRF禁用,因为不使用session .csrf().disable() // 禁用HTTP响应标头 .headers().cacheControl().disable().and() // 认证失败处理类 .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and() // 基于token,所以不需要session .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and() // 过滤请求 .authorizeRequests() // 对于登录login 注册register 验证码captchaImage 允许匿名访问 .antMatchers("/login", "/register", "/captchaImage","/system/workbenchinfo/**").permitAll() // 静态资源,可匿名访问 .antMatchers(HttpMethod.GET, "/", "/*.html", "/**/*.html", "/**/*.css", "/**/*.js", "/profile/**").permitAll() .antMatchers("/swagger-ui.html", "/swagger-resources/**", "/webjars/**", "/*/api-docs", "/druid/**","/system/workbenchinfo/**").permitAll() // 除上面外的所有请求全部需要鉴权认证 .anyRequest().authenticated() .and() .headers().frameOptions().disable(); // 添加Logout filter httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler); // 添加JWT filter httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class); // 添加CORS filter httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class); httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class);代码解析
06-06
3. `.csrf().disable()` 这行代码禁用了 CSRF 保护,因为这个应用程序不使用 session。 4. `.headers().cacheControl().disable().and()` 这行代码禁用了响应头中的 cacheControl。 5. `.exceptionHandling()....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值