跨站请求伪造-CSRF防护方法

最新推荐文章于 2024-09-02 15:28:15 发布
转载 最新推荐文章于 2024-09-02 15:28:15 发布 · 955 阅读 · 1

本文详细介绍了CSRF(跨站请求伪造)攻击的原理及防御方法,包括验证HTTPReferer字段、在请求地址中添加token并验证、在HTTP头中自定义属性并验证等策略,旨在帮助开发者构建更安全的Web应用。

跨站请求伪造-CSRF防护方法         

                   

 CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

1 CSRF攻击原理

CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。

        1

1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;

2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;

3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;

4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;

5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。

2 CSRF漏洞防御

CSRF漏洞防御主要可以从三个层面进行,即服务端的防御、用户端的防御和安全设备的防御。

2.1      服务端的防御

2.1.1  验证HTTP Referer字段

根据HTTP协议,在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。在通常情况下,访问一个安全受限页面的请求必须来自于同一个网站。比如某银行的转账是通过用户访问http://bank.test/test?page=10&userID=101&money=10000页面完成,用户必须先登录bank.test,然后通过点击页面上的按钮来触发转账事件。当用户提交请求时,该转账请求的Referer值就会是转账按钮所在页面的URL(本例中,通常是以bank. test域名开头的地址)。而如果攻击者要对银行网站实施CSRF攻击,他只能在自己的网站构造请求,当用户通过攻击者的网站发送请求到银行时,该请求的Referer是指向攻击者的网站。因此,要防御CSRF攻击,银行网站只需要对于每一个转账请求验证其Referer值,如果是以bank. test开头的域名,则说明该请求是来自银行网站自己的请求,是合法的。如果Referer是其他网站的话,就有可能是CSRF攻击,则拒绝该请求。

2.1.2 在请求地址中添加token并验证

CSRF攻击之所以能够成功,是因为攻击者可以伪造用户的请求,该请求中所有的用户验证信息都存在于Cookie中,因此攻击者可以在不知道这些验证信息的情况下直接利用用户自己的Cookie来通过安全验证。由此可知,抵御CSRF攻击的关键在于:在请求中放入攻击者所不能伪造的信息,并且该信息不存在于Cookie之中。鉴于此,系统开发者可以在HTTP请求中以参数的形式加入一个随机产生的token,并在服务器端建立一个拦截器来验证这个token,如果请求中没有token或者token内容不正确,则认为可能是CSRF攻击而拒绝该请求。

2.1.3 在HTTP头中自定义属性并验证

自定义属性的方法也是使用token并进行验证,和前一种方法不同的是,这里并不是把token以参数的形式置于HTTP请求之中,而是把它放到HTTP头中自定义的属性里。通过XMLHttpRequest这个类,可以一次性给所有该类请求加上csrftoken这个HTTP头属性,并把token值放入其中。这样解决了前一种方法在请求中加入token的不便,同时,通过这个类请求的地址不会被记录到浏览器的地址栏,也不用担心token会通过Referer泄露到其他网站。

CSRF 跨站请求伪造
m0_69043895的博客
04-19 1452
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
CSRF漏洞攻击原理及防御方案
xv7777666的博客
04-07 3656
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。但是,如果用户还未退出网站A,或者当时恰巧刚访问网站A不久,他的浏览器与网站A之间的session 尚未过期,浏览器的cookie 之中含有用户的认证信息。这时,悲剧发生了,这个url 请求就会得到响应,黑客就能以用户的权限修改密码,且用户毫不知情。在通常情况下,验证码能很好遏制CSRF攻击。
CSRF漏洞详解
渗透测试研究中心
06-10 1349
0x01 CSRF定义   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。尽管听起来像跨站脚本XSS,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流...
csrf防护机制
凉茶铺的博客
07-17 2191
CSRF(Cross-siterequestforgery),中文名称跨站请求伪造你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括个人隐私泄露以及财产安全。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如。...
CSRF攻击
我欲乘风破浪
05-24 587
目录 什么是CSRF攻击 自动发起GET请求 自动发起POST请求 引诱用户点击链接 与XSS区别 防范CSRF攻击 Cookie的SameSite属性 验证请求的来源站点 CSRF Token 什么是CSRF攻击 CSRF:Cross-site request forgery,“跨站请求伪造”,黑客引诱用户打开黑客的网站,在黑客的网站用,利用用户的登录状态发起的跨站请求。简单来讲,CSRF攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 自动发起GET请求 .
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat 防止跨站请求伪造CSRF)机制浅析 在 Web 应用开发中,跨站请求伪造CSRF)是一种常见的安全威胁。跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...
【网络安全】-csrf漏洞 -跨站请求伪造攻击
weixin_65311462的博客
09-02 560
账户劫持:用户的账户可能被控制,进行未经授权的操作,如修改密码、删除数据、发布虚假信息等,造成名誉损失。这导致服务器把用户1的预请求,当成用户2在发起请求-更改个人信息,响应后用户2的信息被修改。用户2:访问外链,被强迫接手并执行用户1的预请求,向服务器发起请求-更改个人信息。用户1:在客户端向服务器发送预请求-更改个人信息,并将预请求外链成图片或网页。用户2-Allen 被骗点击用户1 vince 生成的csrf.html.点的那一瞬间,用户2 Allen的信息被修改。用户被欺骗访问URL等外链。
Exploit-DMA-Radius-Manager-4.4.0---Cross-Site-Request-Forgery-CSRF-:DMA Radius Manager 4.4.0-跨站请求伪造CSRF
04-10
【标题】"Exploit-DMA-Radius-Manager-4.4.0---Cross-Site-Request-Forgery-CSRF-"揭示了一个针对DMA Radius Manager 4.4.0版本的安全漏洞,该漏洞涉及到跨站请求伪造CSRF)攻击。这是一种网络安全威胁,允许攻击...
浅谈csrf攻击以及yii2对其的防范措施
weixin_34050005的博客
06-05 190
凡是我yii2学习社群的成员都知道,我不止一次给大家说构造表单100%使用yii2的ActiveForm来实现,这除了能和AR更好结合外就是自动生成csrf隐藏,一个非常安全的举措。 今天北哥就给大家普及下csrf是啥?如果你已经知道了可以直接拉文章到底部点个赞。:smile: CSRF(Cross-site request forgery跨站请求伪造)是一种对网站的恶意利用,在 2007 ...
CSRF 攻击的防范措施
程序员徐师兄的博客
07-13 4077
CSRF 攻击是一种常见的 Web 攻击,可以通过利用用户已登录的身份,向目标网站发送恶意请求,从而实现攻击目的。为了避免 CSRF 攻击,开发者需要采取一些防范措施,例如随机令牌、Referer 校验和 SameSite Cookie 等。建议采用多种防范措施,以增强 Web 应用程序的安全性。
CSRF防御方案
hdwlwang的博客
04-24 5264
我们也可以用自定义HTTP头的方法来防御CSRF攻击,因为虽然浏览器会阻止向外站发送自定义的HTTP头,但是允许向本站通过XMLHttpRequest的方式发送自定义HTTP头。比如,prototype.js这个JavaScript库就是使用这种方法,并且增加了 X-Requested-By头到XMLHttpRequest里面。
什么是 CSRF 攻击
热门推荐
点滴
03-28 3万+
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 通常当用户打开了黑客的页面后,黑客有三种方式去实施 CSRF 攻击。 下面我们以极客时间官网为例子,来分析这三种攻击方式都是怎么实施的。这里假设极客时间具有转账功能,可以通过 POST 或 Get 来实现转账,转账接口如下所示: 有了上面的
CSRF防御
代码搬运工
08-08 562
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 1 CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法...
crsf攻击
qq_18746961的博客
04-06 4234
背景 项目被漏洞扫描软件扫出来crsf 攻击,当时也没有认真看,今天突然想起来了,就有了一些疑问。为什么加crsf-token就可以解决该问题? 概述 CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail
如何在 Spring Boot 中实现跨站请求伪造CSRF防护
最新发布
08-21
### 启用和配置 CSRF 保护以防止跨站请求伪造攻击 在 Spring Boot 应用中,CSRF跨站请求伪造)攻击可以通过 Spring Security 提供的内置支持进行有效防护。Spring Security 默认启用了 CSRF 保护机制,但需要根据应用的具体需求进行适当的配置和调整。CSRF 攻击通常利用用户已认证的身份,在不知情的情况下执行恶意请求,从而导致未授权的操作[^1]。 #### 启用默认的 CSRF 保护 Spring Security 默认已经启用了 CSRF 防护,无需额外配置即可生效。在大多数情况下,开发者只需要确保没有在安全配置中显式地禁用 CSRF 保护即可。默认情况下,CSRF 令牌(CSRF Token)会被存储在会话(Session)中,并通过 Cookie(如 `XSRF-TOKEN`)发送给客户端[^5]。 #### 配置 CSRF 保护 如果需要自定义 CSRF 保护行为,可以通过在安全配置类中重写 `configure` 方法来实现。以下是一个典型的配置示例: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) .and() .authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } } ``` 上述配置使用了 `CookieCsrfTokenRepository` 来存储 CSRF 令牌,并且允许前端通过 JavaScript 读取该 Cookie(通过设置 `withHttpOnlyFalse()`)。这种方式适用于前后端分离的应用,前端可以在每次请求时将令牌放在请求头中(如 `X-XSRF-TOKEN`)。 #### 排除特定路径的 CSRF 保护 在某些情况下,可能需要为某些路径禁用 CSRF 保护,例如对外暴露的 API 接口或第三方服务调用的端点。可以通过 `ignoringAntMatchers` 方法来排除特定路径: ```java http .csrf() .ignoringAntMatchers("/api/**", "/webhooks/**") .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) .and() ... ``` 该配置会跳过对 `/api/**` 和 `/webhooks/**` 路径的 CSRF 检查,适用于 RESTful API 或 Webhook 场景[^5]。 #### 前端集成 CSRF 令牌 在传统的表单提交中,Spring Security 会自动将 CSRF 令牌注入到表单中作为隐藏字段。而在前后端分离的架构中,前端需要从 Cookie 中读取 `XSRF-TOKEN`,并在每次请求中将其作为 `X-XSRF-TOKEN` 请求头发送。大多数现代前端框架(如 Angular、Vue.js)已经内置了自动处理 CSRF 令牌的功能。 #### CSRF 保护的 HTTP 方法 Spring Security 的 CSRF 保护机制默认会对所有非幂等方法(如 POST、PUT、PATCH、DELETE)进行令牌验证。GET 请求通常不会修改服务器状态,因此不会受到 CSRF 保护的影响。开发者可以根据业务需求调整支持的方法类型。 #### 响应状态码 当 CSRF 令牌验证失败时,Spring Security 会返回 HTTP 状态码 `403 Forbidden`,表示请求被拒绝。可以通过自定义异常处理来返回更友好的错误信息或重定向到特定页面[^5]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值