防止CSRF跨域攻击

最新推荐文章于 2022-01-30 22:32:14 发布
最新推荐文章于 2022-01-30 22:32:14 发布
阅读量1.7k 收藏
点赞数
分类专栏: PHP开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaoxuaiguoyi/article/details/47131115
版权

CSRF主要是指有些人使用自动表单提交不停的请求你的网站,或者使用非法请求连接访问站点,防止这些攻击也比较容易就是在自己网站做一个token验证基本就防止了非法请求,正常清楚我们生成的唯一token进行行为验证,如果token通过则执行操作,否则就不通过,防止了无限请求刷自己网站的情况。

首先生成token存到session中:

index.php

                                           //生成一个密匙
					    function create_key()  
					    {  
					         $key = md5(((float) date("YmdHis") + rand(100,999)).rand(1000,9999));  
					        return $key;  
					    }  
					    //产生token
					    function create_token(){

					    		$key = create_key();
					    		$salt = 'MYKEY';
					    		$token = md5($salt.$key);
					    		return $token;

					    }

					    session_start();
					    $_SESSION['client_key'] = create_token();
					    $_SESSION['server_key'] = $_SESSION['client_key'];
					    header("Location:login.php");
login.php 

<!DOCTYPE html>
<html>
<head>
	<title>csrf测试</title>
</head>
<body>
<?php 
   session_start();
   $key = $_SESSION['client_key'];
  
?>
		<form action="dologin.php" method="post">
			用户名:<input name="name" type="text"/><br/>
			密码:<input name="pass" type="text"/><br/>
			<input  type="hidden" name="csrf" value="<?php echo $key; ?>" /><br/>
			<input type="submit"  value="提交" />
		</form>
		
		
</body>
</html>
dologin.php 

<?php 


		sleep(1);
		//print_r($_POST);
		extract($_POST);
		//判断key是否相等
		session_start();
		$server_key = $_SESSION['server_key'];
		//判断是否有csrf参数
		if (!array_key_exists('csrf', $_POST)) {
			
			die("未知请求");
		}
		else if($server_key != $csrf){

				die("参数错误");
		}else{

			
			die("正确请求业务逻辑处理");
		}
?>
这些代码只是简单的验证了一下token,实际开发中,token的生成可能规则不是这么简单,这样写就防止,不法分子使用自动表单来不停的对网站发送请求了,那个防刷新表单重复提交其实,原理都差不多,不太难理解,大家随意参考下吧。

测试结果:

非法请求:

带了csrf参数,但是token不正确:

正确请求:


一只勤奋的代码狗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止攻击Java_XSS脚本攻击 攻击——防御 策略分析【转】
weixin_33812391的博客
03-01 639
摘要:一、概述< h2>①XSS 是什么< h3>站脚本攻击(XSS)是一种代码注入攻击攻击者利用它可以在其它用户浏览器中执行恶意 JavaS 一、概述①XSS 是什么站脚本攻击(XSS)是一种代码注入攻击攻击者利用它可以在其它用户浏览器中执行恶意 JavaScript。攻击者并不是直接面对受害者。而是,为了让网站替自己传输恶意 JavaScript,攻击者需...
Web高级知识-&XSS;&CSRF;解决方案
11-26
CSRF(Cross-site request forgery)攻击CSRF攻击利用用户已登录的身份,通过诱导用户点击含有恶意请求的链接或表单,执行非用户意愿的操作。防范CSRF通常需要使用CSRF Token,这是一个随机生成的、一次性的令牌...
PHP解决Xss攻击以及sql注入等危险字符串方案类库
HAIFU_XU
03-13 2991
由于该模块在项目中的要求是 不能提示任何信息,也不作断点操作,只作记录并且过滤危险参数。 主要功能:拦截攻击者注入恶意代码,可以防御诸如站脚本攻击(XSS)、SQL注入攻击等恶意攻击行为。 <?php /** * 安全模块 * 主要针对xss攻击、sql注入等敏感字符串进行过滤 */ class safeMode{ /** * 执行过滤 * @
XSRF 的攻击与防范
dingbenji5337的博客
12-27 356
官方定义 CSRF(Cross-site request forgery站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而XSRF则通过伪装来自受信任用户的请求来利用...
利用AuthorizeAttribute属性简单避免 MVC 中的攻击
Jaylon Wang的专栏
04-14 853
攻击---自然来路页面和目标页面不在同一个下,所以直接判断来路和当前自己的就可以了。 可以广泛应用于表单提交,ajax调用或者某些不想让用户直接输入网址看到的页面 [csharp] view plain copy using System;   using System.Collections.Generic;   using
说说 XSRF 防范
weixin_34087301的博客
09-17 210
这是我在知乎的一个回答。原提问是如何在单页应用下进行 XSRF 防护。 XSRF(CSRF) 攻击的原理是什么?就是攻击者能猜测出所有的需要提交的内容以及类型,所以所有的解决方案共同出发点就是加一个攻击者也不知道随机值发送给后端验证就可以防范。 有很多解决方案,cookie-session,很不友好的所有表单都得填写验证码,还有一种很少...
spring security中的csrf防御原理(请求伪造)
08-25
Spring Security 是一个强大的安全框架,它提供了防止CSRF攻击的机制。在Spring Security中,CSRF防御主要依赖于生成和验证一个称为CSRF Token的随机值。这个令牌在用户会话开始时生成,并存储在用户的会话和HTTP...
资源共享 CORS 详解
09-02
这确保了安全性,防止站请求伪造(CSRF攻击。 另外,`Access-Control-Expose-Headers`字段用于指定在响应中哪些自定义头信息可以暴露给浏览器,以便通过XMLHttpRequest的getResponseHeader()方法获取。 总结...
CSRF站请求伪造CSRF PHP demo代码
05-04
因此,`login.php`需要包含防止CSRF攻击的安全措施,例如使用CSRF令牌。 CSRF令牌是一种验证机制,每个表单提交时都应携带一个独一无二且难以预测的令牌。在`index.html`和`exciting.html`中,可以看到表单的示例,...
js资源共享 基础篇
11-22
对于需要身份验证的接口,开启`Access-Control-Allow-Credentials`后,需要确保服务器和客户端的安全性,防止CSRF站请求伪造)攻击。 总之,JavaScript资源共享(CORS)是现代Web开发中解决问题的关键...
配置Nginx实现简单防御cc攻击
09-30
本文主要介绍lua+Nginx下如何快速有效得防御CC攻击。至于如何安装Nginx就不详细介绍了,闲话少说,大家请看示例
XSS攻击在web项目中的防范,基于antisamy技术
07-10
介绍了XSS攻击在web项目中的防范,基于antisamy技术。
java防止攻击
hongwei3344661的博客
02-14 807
/**   * 验证请求的合法性,防止攻击   *   * @param request   * @return   */   @SuppressWarnings("rawtypes")   publicstatic boolean validateRequest(HttpServletRequest request) {       String referer = ...
服务器安全:浏览器同源策略与请求、XSS攻击原理及防御策略、如何防御CSRF攻击
热门推荐
寒泉
05-10 6万+
主要包括 浏览器同源策略与请求 XSS攻击原理及防御策略 如何使用SpringSecurity防御CSRF攻击 CC/DDOS攻击与流量攻击 什么是SSL TLS HTTPS? 一、浏览器的同源策略 请求方式:HTTP,HTTPS,Socket等 HTTP请求特点:无状态。 想要保持状态的话,需要服务器下发token/cookie到浏览器,在服务器端存的是session 服务端与客户端要建立会话: 浏览器的同源策略 同源策略:当访问同一名下的所有子URI时,不需要重新登录。 所谓的同源是指:1.
Java防攻击解决方案
零全零美
09-02 1456
思路: 判断referer里的地址是否和当前的地址一致,如果不一致则说明是攻击的,否则不是   /** * 验证请求的合法性,防止攻击 * * @param request * @return */ @SuppressWarnings("rawtypes") publicstatic boolean validateRequest(HttpServlet
java接口 防攻击_浅谈spring-boot 允许接口并实现拦截(CORS)
weixin_30230059的博客
03-02 301
本文介绍了spring-boot 允许接口并实现拦截(CORS),分享给大家,也给自己留个笔记pom.xml(依赖的jar)// 在spring-boot-starter-web的启动器中,已经依赖好了org.springframework.bootspring-boot-starter-webCORS的配置(主要配置允许什么样的方法)import org.springframewor...
java接口 防攻击_接口调用的安全性问题
weixin_39866774的博客
03-02 349
1.参数加密,h5加密,api接口解密2.签名算法验签,用户端服务端设计一个签名算法,进行校验3.针对登录用户,生成一个token,(ip+uid+时间戳),存在数据库,只在登录期间有效。配合Linux和数据库的权限管理可以防外又防内。ps:(token一段时间需要更新)4.接口返回尽量是json数据,不返回null,根据需求返回需要的数据。5.用时间戳和用户uid生成一个token,将接口请求过...
如何防止CSRF攻击
风烟
01-30 4549
什么是CSRF CSRF(cross-site request forgery)站请求伪造:攻击者诱导受害者进去第三方网站,在第三方网站,向被攻击网站发送垮站请求,利用受害者在被攻击网站已经获取的登陆凭证。绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作。 一个典型的CSRF攻击有着如下的攻击流程: 受害者登陆a.com,并保留了登陆凭证(cookie) 攻击者引诱受害者访问了b.com b.com向a.com发送了一个请求: a.com/act=xxx。浏览器会默认携带a.com的cooki
什么是 CSRF 攻击,如何避免
syilt的博客
05-29 2695
CSRF:Cross-Site Request Forgery(中文:站请求伪造),可以理解为攻击者盗用了你的身份,以你的名义发送恶意请求,比如:以你名义发送邮件、发消息、购买商品,虚拟货币转账等。 防御手段: 验证请求来源地址; 关键操作添加验证码; 在请求地址添加 token 并验证。 下面是CsrfFilter代码: /** * CSRF请求伪造拦截 * 除登录以外的...
csr防止请求,攻击
最新发布
08-14
### 回答1: CSR(客户端渲染)是指 JavaScript 应用程序在浏览器中运行并生成用户界面的方式。因为浏览器有同源策略的限制,导致请求无法直接发送。资源共享(CORS)是浏览器用来解决这个问题的技术,服务器端可以通过在响应中设置特定的 HTTP 头来允许请求。 攻击是指攻击者利用了浏览器的同源策略限制来获取用户敏感信息。常见的有XSS(站脚本攻击)和CSRF站请求伪造)。为了防止攻击,应当使用CORS机制严格限制哪些可以访问服务器,同时应当使用防站请求伪造(CSRF)技术来防止攻击者伪造请求。 ### 回答2: CSR(Cross-Site Request)是一种安全机制,旨在防止请求和攻击请求是指Web应用程序在一个名下发送HTTP请求,但目标资源位于另一个不同的名下。这种请求通常是由于前端页面中的JavaScript代码发送的,然而,由于浏览器的同源策略,请求默认是被禁止的。 同源策略是一种浏览器安全机制,用于限制从一个源(协议+名+端口)加载的文档或脚本如何与来自另一个源的资源进行交互。它的目的是保护用户信息的安全,防止恶意攻击者利用其他网站的漏洞来获取用户敏感数据。 为了实现请求,可以使用CORS(来源资源共享)机制。CORS通过在HTTP响应头中添加特定的字段,使服务器能够允许请求。前端页面发送的请求会先向服务器发送一个预检请求(OPTIONS请求),服务器通过响应头中的字段来确定是否允许该请求。 然而,即使使用了CORS,仍然需要注意攻击(Cross-Site Scripting,XSS)的风险。XSS攻击是指攻击者通过注入恶意脚本代码到受信任网站的合法页面中,来获取用户的敏感信息或执行其他恶意操作。为了防止XSS攻击,可以对用户输入进行严格的过滤和验证,并在输出时进行适当的转义。 此外,还可以使用其他安全机制来增强安全性,如使用安全的HTTP头(如X-Frame-Options,Content-Security-Policy等),限制特定名下的资源访问。同时,定期更新和维护服务器和应用程序以修补潜在的安全漏洞,也是非常重要的。 总而言之,CSR可以通过CORS机制来防止请求,并采取其他安全措施来防止攻击,保护用户的信息安全。 ### 回答3: CSR(Cross-Site Request)是一种安全机制,用于防范请求和攻击请求是指在Web应用中,如果一个请求的源和目标位于不同的名下,浏览器会根据同源策略(Same-Origin Policy)限制请求的发送和响应。同源策略要求请求的协议、名和端口必须完全相同,否则浏览器会阻止该请求的发送。这种限制能够防止恶意网站通过浏览器发送请求获取用户的敏感信息。 为了解决请求的问题,可以使用CSR机制。CSR机制允许Web应用向另一个名发送请求,并获取响应。在CSR机制中,Web应用通过在请求头中添加一些安全标记(如Origin header),告知服务器请求的来源。服务器在接收到请求后,会检查Origin header的值,然后根据策略决定是否允许请求。 另外,攻击也是一种常见的安全威胁,如站脚本攻击(Cross-Site Scripting,XSS)、站请求伪造(Cross-Site Request Forgery,CSRF)等。这些攻击利用了Web应用对请求的信任,将恶意代码或请求发送到目标网站,以获取用户的敏感信息或执行恶意操作。 CSR机制可以有效防止请求的产生,并提供一定程度的安全保护。通过限制请求的访问,Web应用能够更好地保护用户的数据安全和隐私,并防范攻击。然而,为了进一步加强安全性,开发者还应该采取其他安全措施,如输入验证、输出编码、会话管理等,以全面保护Web应用的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值