防止跨站攻击——CSRFToken

最新推荐文章于 2024-05-21 08:50:02 发布
最新推荐文章于 2024-05-21 08:50:02 发布
阅读量1.2w 收藏 15
点赞数 1
文章标签: CSRFToken 防止跨站攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guodejie/article/details/80778135
版权

怎么防止跨站攻击:

表单:在 Form 表单中添加一个隐藏的的字段,值是 csrf_token。

非表单:在ajax获取数据时,添加headers:{ 'X-CSRFToken':getCookie('csrf_token') }。

原理:在浏览器访问网站A时,网站A设置cookie会增加随机值csrf_token,这个值是随机的。返回给浏览器时,cookie会储存在浏览器,同时会把csrf_token传给表单里面的隐藏字段。所以当浏览器用自己的表单时会自带csrf_token,网站A取到这个值和cookie里的csrf_token一致就通过。而网站B里面的表单没有这个值,所以不能通过,这样就阻止了恶意攻击。非表单也是这样的原理。



CSRFProtect(app)

  上一步的作用:    # 开启CSRF保护(不会设置随机值。只会对比随机值,没有或错误都无法访问路由

                               # 从现在起,程序会获取cookie中的随机值,以及从表单或者ajax中获取随机值,进行对比

                               # 如果对比失败,则无法访问路由

                               # 后续需要设置随机值到cookie中,以及增加ajax中的headers


表单:在 Form 表单中添加一个隐藏的的字段,值是 csrf_token。

<form method="post">
    <input type="hidden" name="csrf_token" value="{{ csrf_token }}">
    <label>账户:</label><input type="text" name="to_account" placeholder="请输入对方账户"><br/>
    <label>金额:</label><input type="number" name="money" placeholder="请输入转账金额"><br/>
    <input type="submit" value="转账">
</form>

非表单:在ajax获取数据时,添加 headers:{ 'X-CSRFToken':getCookie('csrf_token') }。

        $.ajax({
            url:"/passport/login",
            method: "post",
            data: JSON.stringify(params),
            contentType: "application/json",
            headers:{
                'X-CSRFToken':getCookie('csrf_token')
            },
            success: function (resp) {
                if (resp.errno == "0") {
                    // 刷新当前界面
                    location.reload();
                }else {
                    $("#login-password-err").html(resp.errmsg)
                    $("#login-password-err").show()
                }
            }
        })




csdn-gdj
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
【第九周】通过csrf(get)进行地址修改实验演示、token详解及常见防范措施、远程命令、代码执行漏洞原理及案例演示 等等
weixin_44722125的博客
05-05 536
通过csrf(get)进行地址修改实验演示 先登陆一下 修改地址 submit即可修改 如何确认此处是否存在CSRF漏洞 首先这是一个敏感信息修改,其次看下burp数据包 GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=shenyang&email=...
csrf token作用
neu_xiaolu的博客
06-05 1万+
作用: 是防御CSRF攻击。 如何生成? 在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。 应用: 表单中:添加隐藏字段csrf_token,来启用csrftoken验证 <form action="/add-...
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
05-21 1525
这时该转帐请求的 Referer 值就会是转账按钮所在的页面的URL,而如果黑客要对银行网站实施 CSRF攻击,他只能在他自己的网站构造请求,当用户User通过黑客的网站发送请求到WebA时,该请求的 Referer 是指向黑客自己的网站。你可以这么来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。比如在PHP中,如果使用的是。
CSRF防御之token认证
EmotionComputer
06-24 2万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
CSRF:修改用户的个人信息(get/post方式)/源码分析token的防范
weixin_43726152的博客
05-17 1050
GET 方式: 0x0 攻击者Kobe先在网站上注册一个账号,进入修改信息界面: 0x1 用burp抓包发现是get方式,而且没有token验证。 0x2 直接构造恶意链接即可 127.0.0.1/pika/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=18912121212&add=WuHan&email=kobe%40pikachu.com&submit=submit 目标主机只要点击了链接就会被修改。 前端提
php表单加入Token防止重复提交的方法分析
01-20
Token一般用在两个地方——防止表单重复提交、anti csrf攻击跨站点请求伪造)。 两者在原理上都是通过session token来实现的。当客户端请求页面时,服务器会生成一个随机数Token,并且将Token放置到session当中,...
security-csrf:Security CSRF跨站点请求伪造)组件提供了一个CsrfTokenManager类,用于生成和验证CSRF令牌
02-05
CSRF跨站请求伪造,Cross-Site Request Forgery)是一种网络攻击手段,攻击者通过诱导用户执行非预期的操作,来利用用户在某个网站上的已登录状态,从而达到恶意目的。在Web应用开发中,Symfony Security组件是...
毕设&课程作业_智能点餐系统——后端.zip
02-29
3. CSRF防护:使用CSRF token防止跨站请求伪造攻击。 4. 授权和权限:实施RBAC(Role-Based Access Control)角色权限管理。 六、测试与部署 1. 单元测试:确保每个功能模块的正确性。 2. 集成测试:检查各模块间的...
PHP实例开发源码——BidCms模仿Pinterest的开源图片分享系统.zip
11-30
PHP的预处理语句和过滤输入数据可以防止SQL注入,而CSRF令牌可以抵御跨站请求伪造。 9. **SEO优化**:对于图片分享系统,搜索引擎优化(SEO)是提升流量的关键。通过添加元标签、自定义URL结构、生成站点地图等方法...
实训项目——乐鲜生活电子商务系统-Lex-mall.zip
11-04
- CSRF跨站请求伪造)防护:防止恶意第三方冒充用户执行操作。 - XSS(跨站脚本攻击)防护:对用户输入进行过滤和转义,防止恶意脚本注入。 - JWT(JSON Web Token)授权:用于身份验证,减少频繁的登录请求。 ...
CSRF攻击防止
zhangmoyan9527的博客
08-14 1041
  CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。   CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证   防止 CSRF 攻...
PHP抖音最新视频提取代码
qq_36203073的博客
05-18 1805
抖音视频最新提取源码
【笔记】Python3|爬虫请求 CSRF-Token 时如何获取TokenToken过期、处理 CSRF-Token 需要注意的问题及示例
qq_46106285的博客
03-19 7755
注意CSRF-Token可能也在响应头中,以及requests请求的时候要用Session,不然就会过期。
提取谷歌游览器Cookie的五重境界
热门推荐
小小明-代码实体的专栏
01-23 3万+
经常玩爬虫的童鞋都知道cookie的重要性,目前为止大部分网站都仍然使用cookie标识登录状态,只有少部分网站升级到使用jwt记录登录状态。 提取cookie作用不言而喻,那么提取cookie有哪些高端的操作呢?请观看: 文章目录纯手动提取谷歌游览器cookieselenium手动登录并获取cookieselenium无头模式获取非登录cookie获取本地谷歌游览器中的cookie解析存储谷歌游览器cookie数据的文件并提取 纯手动提取谷歌游览器cookie 这应该是任何玩过爬虫的童鞋都会的方案,也可能
宝宝小爬虫Selenium自动获取网页cookie+Curl数据查询
qq_15682489的博客
03-31 2295
宝宝小爬虫Selenium获取网页cookie+Curl数据查询作者的自言自语:我们在获取网页数据的时候,遇到某些网站往往需要登陆成功后才有我们想要的数据,这个时候我们就需要获得网页的cookie,如果每次都要自己打开网页复制cookie出来保存那太麻烦啦,所以我用selenium自动打开网页模拟。 我们要干的事情 1.selenium模拟打开网页,输入用户名,密码 2.登陆成功后获取cook
网络爬虫中X-CSRF-Token和Status 403问题解决方案(Java或Python)
qy20115549的博客
08-03 6886
本文作者:合肥工业大学 电子商务研究所 钱洋 email:1563178220@qq.com 。 内容可能有不到之处,欢迎交流。 未经本人允许禁止转载。 文章目录问题情景1和解决方案问题情景2和解决方案 问题情景1和解决方案 **在很多POST请求中,经常会加入一些字段来控制会话或者数据的表单提交。**例如,在京东的模拟登陆中,并不是你在Java或者python程序中,直接输入用户名密码就能登陆成...
SAP OData 403 Forbidden X-CSRF-TOKEN
Wriprin 的技术博客
10-24 1320
SAP OData 403 Forbidden「X-CSRF-TOKEN」 Validierung des CSRF-Tokens fehlgeschlagen CSRF 令牌验证失败
laravel Ajax请求 X-CSRF验证问题
qq_38358436的博客
08-23 425
jquery version: 1.12.4 laravel version: 5.4.* 由于laravel5.0以后版本所有post请求都有防csrf攻击token验证 所以每次使用jQuery Ajax请求是都必须加上 _token 显然这些代码是重复的,也给我们的开发带来的很大的不便,那么我们如何解决这个问题呢 $.post('/te...
CSRF token invalid
09-06
CSRF token invalid是一个常见的错误信息,通常出现在服务端无法接受post请求时。CSRF跨站请求伪造)是一种web攻击方式,目的是利用用户在一个网站上已登录的身份来进行恶意操作。为了防止这种攻击,服务端会生成一个CSRF token,并将其与表单一起发送给客户端。客户端在发送post请求时需要将该token作为请求的一部分发送给服务端。服务端会比对请求中的CSRF token和自己生成的token是否一致,如果不一致,则会返回"invalid csrf token"错误信息。 要解决CSRF token invalid错误,有几种可能的解决方案。一种是在服务端的配置文件中关闭CSRF防范,这样可以避免在本地测试时出现该错误。另一种解决方案是增加适当的插件,比如yhsd-api插件,在使用该插件后,可以直接通过app.Yhsd获取yhsd-api,无需额外的require('yhsd-api')操作。同时,该插件还提供了一些常用的方法,可以帮助处理CSRF token相关的问题。 总结起来,解决CSRF token invalid错误的方法主要包括关闭CSRF防范和使用适当的插件来处理CSRF token。具体的实现方式可以根据你的需求和具体的技术栈来选择。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Egg post 失败 { message: 'invalid csrf token' } 解决方案](https://blog.csdn.net/weixin_43704471/article/details/90763103)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [yhsd-egg:友好速搭插件开发egg.js:egg:扩展框架——yhsd-egg:egg:!](https://download.csdn.net/download/weixin_42123456/18521303)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值