如何防止csrf制跨站请求攻击(代码说明)

最新推荐文章于 2024-05-03 17:06:18 发布
最新推荐文章于 2024-05-03 17:06:18 发布
阅读量1.4k 收藏
点赞数
文章标签: csrf 前端 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jingdianjiuchan/article/details/129651815
版权

CSRF(Cross-Site Request Forgery)攻击,是一种利用用户已经登录的状态来伪造用户的请求,从而进行恶意操作的攻击方式。例如,攻击者可以利用CSRF攻击来修改用户的密码、发送垃圾邮件、进行支付等操作。

为了防止CSRF攻击,需要采取一些措施来保护网站的安全性。下面介绍几种常用的防御措施:

1、SameSite Cookies

SameSite Cookies是一种在Cookie中添加属性来限制跨站请求的技术。通过设置SameSite属性为Strict或Lax,可以防止恶意网站利用用户的Cookie来进行CSRF攻击。具体来说,Strict模式下不允许任何跨站请求,而Lax模式下只允许部分跨站请求(例如,从外部网站跳转到当前网站时),从而有效地防止CSRF攻击。

在Vue.js中可以使用vue-cookies库来设置SameSite Cookies。例如,在Vue.js中可以使用以下代码来设置SameSite Cookies:

import Vue from 'vue';
import VueCookies from 'vue-cookies';

Vue.use(VueCookies);

Vue.$cookies.config('SameSite=Strict');

在上述代码中,使用vue-cookies库来设置SameSite Cookies,使用config方法来配置Cookie属性,设置SameSite属性为Strict,从而防止CSRF攻击。

2、CSRF Token

CSRF Token是一种在请求中添加Token参数来验证请求的合法性的技术。具体来说,服务器在响应用户的请求时,会在Cookie中生成一个Token值,并将该Token值返回给客户端。客户端在发送请求时,需要将该Token值作为参数发送到服务器端,服务器会根据Token值来判断请求的合法性,从而防止CSRF攻击。

在Vue.js中可以使用以下代码来设置CSRF Token:

import axios from 'axios';

axios.defaults.headers.common['X-CSRF-TOKEN'] = 'token';

在上述代码中,使用axios库来发送请求,使用defaults.headers.common属性来设置请求头,设置X-CSRF-TOKEN参数为Token值,从而防止CSRF攻击。

需要注意的是,CSRF Token需要在每次请求时动态生成,从而避免重复使用Token值导致安全问题。同时,需要将Token值存储在Cookie中,并使用SameSite属性来限制跨站请求,从而提高网站的安全性。

3、验证Referer

Referer是指在HTTP请求头中包含的一个字段,用来表示请求来源的网址。在防御CSRF攻击时,可以在服务器端验证Referer字段,只接受来自本网站的请求。但是需要注意的是,Referer字段有时会被篡改,因此不能完全依赖该字段来判断请求的合法性。

4、双重确认

双重确认是一种在关键操作中增加确认步骤的技术,例如,在进行支付操作时需要用户输入密码或者进行短信验证等操作,从而防止CSRF攻击。双重确认可以有效地提高网站的安全性,但是会增加用户的操作步骤,降低用户体验。

总之,为了防止CSRF攻击,需要采取多种措施来提高网站的安全性,例如使用SameSite Cookies、CSRF Token、验证Referer、双重确认等技术。同时,需要定期更新网站的安全策略,及时修补漏洞,从而确保网站的安全性。

Mr song song
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django中如何防范CSRF请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
js-cookie的使用以及存储token安全的注意要点
xyphf的博客
12-22 1182
2、使用CSRF Token:在每个请求中添加一个随机生成的CSRF Token,然后在服务器端验证这个Token。2、启用Content Security Policy,简称CSP内容安全策略集配置,限制浏览器只加载和执行来自特定源的脚本,从而防止XSS攻击;3、使用Referer Header:在服务器端检查Referer Header,如果请求不是来自同一源,那么请求将被拒绝。3、对用户输入进行验证和转义:对所有用户输入进行验证,并对特殊字符进行转义,以防止恶意脚本被执行。
js-cookie的使用方法
HeXinT的博客
11-21 2068
而跨域访问,如域A为t1.test.com,域B为t2.test.com,那么在域A生产一个令域A和域B都能访问的cookie就要将该cookie的domain设置为.test.com;在同一个服务器上有目录如下:/test/,/test/cd/,/test/dd/,现设一个cookie1的path为/test/,cookie2的path为/test/cd/,那么test下的所有页面都可以访问到cookie1,而/test/和/test/dd/的子页面不能访问cookie2。域domain与路径path。
js-cookie使用介绍
王宏涛的博客
05-31 1993
js-cookie使用介绍
Cookie 的 SameSite 属性
热门推荐
alone
10-09 5万+
今天在做前后端分离姓名的时候遇到了这样一个问题。 设置了与跨点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www...
SameSite cookie 理解与设置
隔壁老瓦的专栏
08-15 1483
此功能仅在(HTTPS)、部分或所有中可用。HTTP 响应标头的SameSite属性允许您声明您的 cookie 是否应限制为或同一点上下文。与 CookieSameSiteSameSite如果未指定cookie 发送行为是. 以前的默认设置是为所有请求发送 cookie。带有必须的 Cookie现在还指定Secure属性(它们需要安全上下文/HTTPS)。如果使用不同的方案 (或)发送来自同一域的 Cookie,则不再将其视为来自同一点。本文记录了新标准。...
SameSite Cookie防止 CSRF 攻击
weixin_33851429的博客
07-12 880
因为 HTTP 协议是无状态的,所以很久以前的网是没有登录这个概念的,直到网景发明 cookie 以后,网才开始利用 cookie 记录用户的登录状态。cookie 是个好东西,但它很不安全,其中一个原因是因为 cookie 最初被设计成了允许在第三方网发起的请求中携带,CSRF 攻击就是利用了 cookie 的这一“弱点”,如果你不了解 CSRF,请移步别的地方学习一下再来。 当我们...
前端 js 操作 Cookie 详细介绍与案例
有勇气的牛排博客
06-25 6278
通过使用Cookie,服务器可以在不同的HTTP请求之间保持会话状态、记录用户首选项、实现购物车功能、进行用户跟踪等。然而,Cookie也有一些限制,包括存储容量的限制、跨域访问的限制以及安全性方面的考虑。
JS设置,获取,删除cookie
浪速之星的博客
02-25 1281
JS设置,获取,删除cookie 由于chrome等浏览器存在samesite安全措施,导致传统http页面后端无法设置cookie前端,所以考虑在返回值中添加cookie值,使用前端js进行cookie设置,获取和删除功能(实现登陆功能) 1.例子中使用了JQuery.js进行get和post请求,同时进行cookie操作 2.password为md5后结果,在一定程度上防止密码泄漏 JS设置cookie $(document).ready(function(){ $("#btn").clic
cookie sameSite 属性,防止CSRF
weixin_43273515的博客
06-19 659
转http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html 一、CSRF 攻击是什么? Cookie 往往用来存储用户的身份信息,恶意网可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网your-bank.com,银行服务器发来了一个 Cookie。 Set-Cookie:id=a3fWa; 用户后来又访问了恶意网malicious.com,上面有一个表单。 <form ac
浅谈ASP.NET MVC 防止请求伪造(CSRF)攻击的实现方法
01-21
这样看似一对的写法其实是为了避免引入跨请求伪造(CSRF攻击。 这种攻击形式大概在2001年才为人们所认知,2006年美国在线影片租赁网Netflix爆出多个CSRF漏洞,2008年流行的视频网址YouTube受到CSRF攻击,同年...
CSRF攻击与防御
02-26
根据HTTP协议,在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。...这时,该转帐请求的Referer...而如果黑客要对银行网实施CSRF攻击,他只能在他自己的网构造请求,当用户通过黑客的网发送请求到银行
安全性测试--CSRF攻击
02-26
CSRF(Cross-siterequestforgery),中文名称:跨请求伪造,也被称为:oneclickattack/sessionriding,缩写为:CSRF/XSRF。你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做...
Flask模拟实现CSRF攻击的方法
12-24
CSRF全拼为Cross Site Request Forgery,译为跨请求伪造。 CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…… 造成的问题...
前端安全防护实战:XSS、CSRF防御与同源策略详解(react 案例)
最新发布
qq_35374791的博客
05-03 788
前端安全防护实战中,主要涉及三个方面:XSS (Cross-Site Scripting) 攻击的防御、CSRF (Cross-Site Request Forgery) 攻击的防御,以及浏览器的同源策略
element-ui的bug记录
nick_zhang的博客
04-29 549
7.el-dialog组件在关闭时,会触发子组件的created/mounted生命周期。原因是当visible改变为false,即关闭dialog的时候,如果用户设置了destroyOnClose=true,则执行key++;key是绑定在较外层的div上的,key值的变化会导致这个div重新渲染。6.select 的 popper-append-to-body ,默认值为true;dialog的append-to-body,默认值为false;3.element表格前端分页。
【Web】CTFSHOW 中期测评刷题记录(1)
uuzeray的博客
05-02 1463
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
判断前端入参是否空否则提示前端写法
qq_39306234的博客
04-28 314
前端先声明一个变量,用于alert判断。在templeat中定义一个提示语句。然后在点击事件时判断一下是否展示。
前端调用WebSocket协议接口获取数据
m0_56023096的博客
04-29 397
createWs("测试数据", (res) => {
Django中的CSRF(跨请求伪造)
05-21
Django中的CSRF是一种安全机制,可以防止请求伪造攻击。在Django中,默认情况下,所有的POST、PUT、DELETE请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。 具体来说,Django在生成表单时会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值