怎么防止跨站请求伪造攻击(CSRF)?

最新推荐文章于 2024-05-27 09:45:00 发布
最新推荐文章于 2024-05-27 09:45:00 发布
阅读量1.3k 收藏
点赞数
分类专栏: 网络安全 文章标签: csrf javascript 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fanlehai/article/details/121507283
版权
一、CSRF 是什么?

跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

二、实际攻击场景

下面用一个银行网站的转账功能,说明攻击原理。备注:涉及到 URL 等信息都是虚构。

1、登录账号

  • 正常登录了一家银行网站,查看其后台信息后,没有退出登录;

  • 假设这家银行操作转账的 URL 是:

    https://bank.example.com/withdraw?account=AccoutName&amount=1000&for=PayeeName
2、恶意链接

  • 此时你看到其他网站的一个诱导链接,你下意识点开了;

  • 诱导链接中包含恶意代码(用 转账链接 替代 真实图片链接)

    <img src="https://bank.example.com/withdraw?account=Alice&amount=1000&for=Badman" />
3、攻击完成
  • 点击链接后,
最低0.47元/天 解锁文章
Learn-anything
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Pbootcms网防黑、防跨的经验分享
惠惠软件
10-08 2725
不懂的小白,在安装后不建议点击更新。
Django CSRF跨站请求伪造防护过程解析
01-01
前言 CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网A,浏览器就会保存网A的cookies。 2、用户在访问恶意网B, 网B上有某个隐藏的链接会自动请求A的链接地址,例如表单提交,传指定的参数。 3、恶意网B的自动化请求,执行就是在用户A的同一个浏览器上,因此在访问网A的时候,浏览器会自动带上网A的cookies。 4、所以网A在接收到请求之后,可判断当前用户登录状态,所以根据
【 安全】什么是CSRF攻击?如何避免?开发的时候怎么预防?
最新发布
m0_61869253的博客
05-27 250
CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网的恶意利用,也被称为 one-click attack或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF跨站请求伪造(Cross—Site Request Forgery) 跟XSS攻击一样,存在巨大的危害性。
如何防止xss跨站脚本攻击(代码说明)
jingdianjiuchan的博客
03-19 3280
在上述代码中,使用contentSecurityPolicy选项来设置CSP策略,可以通过不同的源策略来限制不同类型的资源的加载。在Vue.js中可以使用{{}}语法来显示动态内容,需要注意的是,需要对显示的内容进行转义,从而避免XSS攻击。在上述代码中,使用escape方法来转义输出的内容,使用正则表达式来匹配需要转义的字符,并使用替换函数来替换字符,从而实现转义输出的功能。需要注意的是,转义输出并不是万能的,有些字符可能会被转义后失去原来的含义,因此还需要使用其他的防御措施来提高网的安全性。
如何防止跨站点脚本 (XSS) 攻击完整指南
allway2的博客
07-24 2575
XSS被认为是最危险的攻击之一,因为它的主要目的是窃取网或系统的用户身份。在这种类型的攻击中,恶意代码或脚本被保存在网络服务器上(例如,在数据库中),并在用户每次调用适当的功能时执行。根据我的软件测试经验,我想补充一点,如果选择了一个好的黑盒测试技术并准确地执行,那么这应该足够了。如果恶意用户将此脚本注入网代码,那么它将在用户的浏览器中执行,并将cookie发送给恶意用户。重要的是要记住,结果意味着什么,应用程序是易受攻击的,它会彻底分析结果。但是,插件被认为是检查此类攻击的相当薄弱的工具。...
如何防止跨站请求伪造(CSRF)?
禅与计算机程序设计艺术
07-02 4096
作者:禅与计算机程序设计艺术 如何防止跨站请求伪造(CSRF)? 作为一名人工智能专家,程序员和软件架构师,防止跨站请求伪造(CSRF)是非常重要的任务。CSRF是一种常见的Web应用程序漏洞,攻击者可以利用该漏洞向用户的敏感信息发送请求,从而窃取用户的个人信息。在本文中,我
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网,从而使得恶意网能以用户身份对受信任网执行操作。为了防止这种攻击,Tomcat 提供了一个名为 CSRF Prevention Filter 的工具,该工具能够帮助开发者保护...
浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
10-18
下面小编就为大家分享一篇浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
【ASP.NET编程知识】浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法.docx
05-21
浅谈 ASP.NET MVC 防止跨站请求伪造CSRF攻击的实现方法 本文档对 ASP.NET MVC 中防止跨站请求伪造CSRF攻击的实现方法进行了详细的探讨。首先,文章介绍了 CSRF 攻击的定义和历史,然后通过一个模拟的示例,...
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。...在跨站请求伪造CSRF攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网会话的完整性。而浏览器的安全策略是允许当前页面
五大方法减少跨站请求伪造CSRF攻击
q243021856的专栏
08-20 859
摘要:你公司网络上的Web应用程序是否容易遭受跨站请求伪造攻击呢?这是一个值得讨论的问题,因为一次成功的CSRF攻击的后果往往是破坏性的。下面我们来看看五大方法减少跨站请求伪造攻击。 你公司网络上的Web应用程序是否容易遭受跨站请求伪造攻击呢?这是一个值得讨论的问题,因为一次成功的CSRF攻击的后果往往是破坏性的,会花费公司的大量金钱,甚至导致机密信息丢失。 什么是CSRF跨站请求
XSS,CSRF攻击及预防等一些web安全问题
D_Z_Yong的博客
03-18 8983
一.XSS 1.定义 xss中文名:跨站脚本攻击。 xss的重点不在于跨站点,而是在于脚本的执行,当用户浏览该页面的时候,那么嵌入到web页面的script代码会执行,因此会到达恶意攻击用户的目的 2.分类(3种) .反射型(非持久(一次性)、需要服务器) 一般指攻击者通过诱惑的方式来诱惑用户去访问一个包含恶意代码的url,当点击时就会直接在主机浏览器上执行(会获取cookie的信息) 存...
CSRF攻击解决方式
qq_27394335的博客
07-31 550
1.CSRF(cross-site request forgery),跨站请求伪装 顾名思义,用户角度,访问成功并且登录成功我们的网,没有推出情况下,又访问了病毒网,于是病毒网通过用户端,拿着用户的缓存请求我们的网(尤其是些增删改查的致命操作),于是乎,成功影响了我们的网,web-died。 登录成功(未退出) User(A)-------------...
跨站请求伪造(CSRF)、主机头攻击、非GET/POST方法预防,一篇就够!
m0_47905795的博客
06-19 973
当前在处理系统安全测试缺陷问题时,发现诸多安全问题,记录解决过程和方法,分享共勉。解释:在计算机网络中,主机头攻击是一种网络安全攻击方式,它利用了网络协议栈中的缺陷,以伪造的IP地址为源地址向网络发送数据包,目的是在欺骗目标主机,使其认为这些数据包是从指定的合法源发出的,并从而欺骗目标主机执行一些攻击者预期的动作。主机头攻击通常也被称作,攻击者会伪造数据包中的。
CSRF 跨站攻击
lcf枫的博客
06-24 864
CSRF 跨站攻击 CSRF (Cross Site Request Forgrey).是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。 原理: 内发送请求一般需要一个登陆了的标志。一般存储在cookies 中。这个cookies会存在浏览器中,而发送请求的时候都会带上这个cookies。hacker 无法拿到这个数据。但是可以通过发送请求都会带上cookies...
Web安全:跨站攻击csrf
flying meng的菜鸟居
04-25 3244
什么是CSRF? 你可以理解为:攻击者盗用你的身份,以你的名义发送恶意请求。它被称为“跨站请求伪造”。它能干的事情有很多:当你打开某个网时,你另一个已经打开的购物网已经完成支付;以你名义发送邮件,发评论;网络蠕虫;虚拟货币转账… CSRF攻击流程 用户登录A网(受信任的) A网确认身份 在A中访问B网链接(危险的) B网拿到A中的 cookie 后绕过A网前端直接向其服务器发送请求 这看似简单,其中却有一些值得注意的问题。比如: 1. B网向A服务器发送请求,是否会导致跨域问题? 不会。
跨站请求伪造CSRF攻击原理及预防手段
m0_47905795的博客
06-02 5503
随机化Token(CSRF Token):Token是用于验证网请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
Spring Security如何处理跨站请求伪造CSRF攻击
04-03
Spring Security有多种方法来处理跨站请求伪造攻击CSRF): 1. 使用Synchronizer Token Pattern(同步令牌模式):在用户请求表单时,服务器生成一个随机的令牌并将其存储在用户的session中,然后将这个令牌作为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值