前端安全问题:CSRF

最新推荐文章于 2023-02-11 14:00:00 发布
最新推荐文章于 2023-02-11 14:00:00 发布
阅读量813 收藏
点赞数
分类专栏: web前端安全 文章标签: 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/juzipchy/article/details/69389195
版权

什么是csrf:
 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。

csrf原理:
这里写图片描述
从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:
  1.登录受信任网站A,并在本地生成Cookie。
  2.在不登出A的情况下,访问危险网站B。

CSRF的防御
(1).Cookie Hashing(所有表单都包含同一个伪随机值):
 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了。这个方法可以杜绝99%的CSRF攻击了。
(2).验证码
  这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串

juzipchy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全:如何防止CSRF攻击?
02-24
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的XSS、CSRF安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端同学在日常开发中不断预防和修复安
前端安全(二)CSRF
OriginalMIxss的博客
10-25 286
简介 CSRF(Cross-site request forgery) 跨站请求伪造,CSRF简单来说就是攻击者以你的身份去伪造恶意请求,比如以你的身份去发送邮件、消息、盗取账户信息甚至购买商品网上转账等 原理 用户通过浏览器登录信用正常的网站A 服务器验证通过后后传回cookie 用户在没有登出信用网站情况下访问攻击者的危险网站B 网站B会要求访问第三方站点A,并发出请求 浏览器根据网站B的请求,并自动带上之前网站A上的cookie,访问服务器 服务器由于只根据cookie来判断,判断不出是网站A还是B
前端安全CSRF 攻击原理和防护方法
weixin_59124055的博客
06-13 5925
CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理和防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全面理解需要系统的学习 Cookie,前端跨域,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击和防护方法前端进阶要去,我也希望大家
聊聊前端安全CSRF
奇舞周刊
01-05 890
本文作者为奇舞团前端开发工程师一、什么是CSRFCSRF(Cross Site Request Forgery,跨站域请求伪造),通常缩写为 CSRFCSRF攻击是攻击者通过伪装成受信任用户向服务器发起各种请求,达到欺骗服务器接收并执行指令,造成的一系列危害的一种网络攻击方式。二、CSRF的原理原理流程图形化展示如上图所示,下面为原理流程释义:用户正常登录A网站,登录成功后,A网站将Cooki...
前端安全系列之二:如何防止CSRF攻击?
javagty6778的博客
02-11 213
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1706
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件...
前端安全问题---XSS和CSRF
阳光下的冷静的博客
05-09 1193
XSS概念 XSS又称CSS,全称CrossSiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。 XSS的攻击原理 其原理是攻击者向有 XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie、破坏页面的正常结构,插入广告等恶意内容、...
前端安全CSRF攻击(跨站请求伪造)
热门推荐
业余丰富各种技术栈
08-19 1万+
前端安全CSRF,日常防范CSRF攻击的几种方式
前端能力模型-CSRF漏洞
zqjflash的专栏
03-11 1152
一、CSRF概念:      CSRF(Cross-Site Request Forgery):中文名称:跨站请求伪造,也被称为:one click attack/ session riding,缩写为CSRF/XSRF。 XSS是实现CSRF的诸多途径中的一条,但绝对不是唯一的一条。一般习惯上把通过XSS来实现的CSRF称为XSRF。 CSRF是伪造请求,,冒充用户在站点正
前端安全系列:如何防止XSS攻击?
02-25
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发中不断预防和修复安
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
Web应用安全 目标 Objectives 要求 了解跨站请求伪造CSRF的基本概念; 了解跨站请求伪造CSRF的攻击原理; 跨站请求伪造CSRF简介 一、跨站请求伪造CSRF简介 跨站请求伪造(Cross-site request forgery)CSRF,也被...
【基本功】 前端安全系列之二:如何防止CSRF攻击?
美团技术团队
10-11 3585
总第290篇2018年 第82篇当当当当,我是美团技术团队的程序员鼓励师美美~“基本功”专栏又来新文章了,本篇是我们前端安全系列文章的第二篇,主要聊聊前端开发过程中遇到的...
前端安全问题简述
山鬼谣弋痕夕的博客
08-29 465
前端安全问题 sql注入原理 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 总的来说有以下几点: 1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。 2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。 3.永远不要...
CSRF攻击原理和防护措施讲解
阿飞
04-16 3727
CSRF(Cross Site Request Forger)跨站请求伪造详细讲解
跨站请求伪造(CSRF
佳佳的博客
03-07 1万+
跨站请求伪造(CSRF) 概念 CSRF,全称为Cross-Site Request Forgery,跨站请求伪造,是一种网络攻击方式,它可以在用户毫不知情的情况下,以用户的名义伪造请求发送给被攻击站点,从而在未授权的情况下进行权限保护内的操作。 具体来讲,可以这样理解CSRF。攻击者借用用户的名义,向某一服务器发送恶意请求,对服务器来讲,这一请求是完全合法的,但攻击者确完成了一个恶意操...
前端CSRF攻击
gzkahjl的博客
06-25 295
cross site request forhy(CSRF)跨站请求攻击 案例:诱导用户打开第三网站,进行攻击,例如: <body> hello,这里什么也没有。 <script> document.write(` <form name="commentForm" target...
前端web安全-CSRF基础入门
笑花大王
02-17 287
前言 今天找了个新地方进行学习 嘿嘿 采光不错!特别适合看书呢。 前言 1.CSRF 跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,...
前端安全漏洞之 CSRF
杏子
05-22 680
前端安全漏洞之 CSRF一、概念二、特点三、示例四、防范 一、概念 CRSF(Cross-site-request-forgery)是跨站请求伪造。顾名思义就是伪造他人的身份去发送请求。 二、特点 依靠他人身份攻击网站 利用网站对身份的信任 利用他人的浏览器发送请求给目标站点 三、示例 老王经过登录之后浏览 A 网站,A 网站就保留着老王的 cookie 信息,这时候老王在 A 网站看到一个链...
前端安全CSRF
qq_36711388的博客
05-19 2848
安全类:CSRF CSRF:跨站请求伪造,英文:Cross-site request forgery forgery 攻击原理: 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:   1.登录受信任网站A,并在本地生成Cookie。   2.在不退出A的情况下,访问危险网站B。   看到这里,你也许会说:“如果我不满足以上两个条件中的一个,我就不会受到CSRF的攻击”。是的,...
如何在前端页面中添加csrf令牌
最新发布
03-25
为了防止这种攻击,在前端页面中需要添加CSRF令牌。 下面是一些添加CSRF令牌的方法: 1. 在服务端生成一个CSRF令牌,并将其嵌入到每个表单中的隐藏字段中。当用户提交表单时,服务端将验证该令牌是否与用户会话中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值