如何预防 CSRF 攻击?

最新推荐文章于 2025-10-28 14:24:19 发布
原创 最新推荐文章于 2025-10-28 14:24:19 发布 · 4.9k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#预防 #CSRF

简介

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,是一种对网站的恶意攻击。

尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同。

XSS 利用的是站点内的信任用户,而 CSRF 则通过伪装成(假冒)站点内的信用用户,执行该用户不知情的操作。

与 XSS 攻击相比,CSRF 攻击往往不太流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比 XSS 更具危险性。

CSRF 攻击是在受害者毫不知情的情况下,以受害者名义伪造请求发送给受攻击站点,从而在受害者并未授权的情况下执行受害者权限下的各种操作。

CSRF 攻击的原理

CSRF 攻击的条件

  • 正常网站 A,存在 CSRF 漏洞;恶意网站 B,含有攻击性代码,用来对网站 A 进行攻击。
  • 正常网站 A,有两个用户:user01(受害者)和 user02(攻击者)。
  • user02(攻击者)清楚地了解网站 A,并创建了具有攻击性的网站 B。
  • user01(受害者)登录了网站 A 后,在自身的 session 未失效的情况下,访问了恶意网站 B。

CSRF 攻击的过程

  1. 用户 user01 通过浏览器访问正常网站 A,输入用户名和密码请求登录验证。
  2. 登录验证通过后,网站 A 保存 user01 的 session,并将对应的 cookie 返回给 user01 的浏览器。这样, user01 就可以在网站 A 执行自身权限下的各种请求(操作),比如取款、发表文章、发表评论等。
  3. 假如, user01 还未退出网站 A,在同一浏览器中,访问了恶意网站 B。
  4. 网站 B 是 user02 创建的,user02 清楚地知道网站 A 的工作模式。网站 B 通过攻击性代码访问网站 A(携带的是 user01 的 cookie),执行某些并非 user01 授意的操作。
  5. 网站 A 却并不知道这个恶意请求是从网站 B 发出的,因此,就会根据 user01 在网站 A 中具备的相关权限,执行权限下的各种操作。这样,就在 user01 不知情的情况下,user02 假冒 user01,执行了具备 user01 用户身份的操作。

CSRF 攻击实例

最低0.47元/天 解锁文章
什么是csrf攻击如何避免,CSRF攻击与防御
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
05-05 3114
CSRF攻击攻击原理及过程如下: 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
什么是CSRF攻击
weixin_40851188的博客
05-01 1793
什么是 CSRF 攻击CSRF 概念:CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利 用。 尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装成受信任用户的...
防止CSRF攻击
不忘初心,我正在路上
08-30 2344
CSRF Token介绍与应对策略 + CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机...
如何防止CSRF攻击
m0_58989398的博客
06-26 863
如上代码所示,可以看到,该页面只要打开,就会向Gmail发送一个post请求,请求中,执行了“Create Filter”命令,将所有邮件转发到“hacker@hakermail.com”,A由于刚刚就登录了Gmail,所以这个请求发送时,携带着A的登录凭证(Cookie),Gmail的后台接收到请求,验证了确实有A的登录凭证,于是成功给A配置了过滤器,黑客可以查看A的所有邮件,包括邮件里的域名验证码等隐私信息,拿到验证码后,黑客就可以要求域名服务商把域名重置给自己。
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
分享Python知识
10-28 684
一、什么是CSRF?CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
什么是 CSRF?如何防止 CSRF 攻击
公众号:该用户快成仙了
07-27 1985
CSRF,全称 Cross-Site Request Forgery,中文翻译为跨站请求伪造,它是一种网络安全漏洞,攻击者通过伪造用户的请求,利用用户在已登录的情况下的身份验证信息,向服务器发送恶意请求,从而执行未经用户授权的操作。CSRF攻击通常发生在用户已经登录了某个网站的情况下,攻击者在用户不知情的情况下利用用户的身份信息发送恶意请求,导致服务器误以为是用户发送的合法请求。用户登录到一个网站,并且被骗点击了攻击者构建的另一个网站链接,这代表了 CSRF 的“跨站点”部分。
CSRF 攻击的防范措施
程序员徐师兄的博客
07-13 4079
CSRF 攻击是一种常见的 Web 攻击,可以通过利用用户已登录的身份,向目标网站发送恶意请求,从而实现攻击目的。为了避免 CSRF 攻击,开发者需要采取一些防范措施,例如随机令牌、Referer 校验和 SameSite Cookie 等。建议采用多种防范措施,以增强 Web 应用程序的安全性。
精选资源
前端安全:如何防止CSRF攻击
02-24
在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
如何防止CSRF攻击
qq_40663520的博客
04-18 3902
如何防止CSRF攻击 CSRF不需要将恶意代码注入用户的页面,仅仅是利用服务器的漏洞和用户的登录状态来实施攻击。 要让服务器避免遭受到CSRF攻击,通常有一下几种途径: 充分利用好cookies的SameSite属性:黑客会利用用户的登录状态发起CSRF攻击,而Cookie正式浏览器和服务器之间维护登录状态的一个关键数据。要防止CSRF攻击,最后能实现从第三方站点发送请求时禁止Cookie的发送。 在Http响应头中,通过设置set-cookie时,可以带上SameSite选项,如下: (1)Stric
前端安全系列之二:如何防止CSRF攻击
weixin_34416754的博客
10-12 490
背景 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端...
网络攻击——CSRF攻击
PUIWAH的博客
03-24 1638
CSRF攻击 CSRF全称是跨站请求伪造(cross site request forgery),CSRF伪装受信任用户,向第三方平台发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。 一个典型的CSRF攻击有着如下的流程: 受害者登录 a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了 b.com。 b.com 向 a.com ...
csrf攻击原理及如何防止csrf攻击
weixin_33704591的博客
06-27 277
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,是一种对网站的恶意利用,通过伪装来自受信任用户的请求来利用受信任的网站。 CSRF攻击原理 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用...
如何预防 CSRF 攻击
春风化雨
12-17 2092
1、CSRF 攻击 CSRF:Cross-Site Request Forgery(中文:跨站请求伪造),可理解为攻击者盗用某用户的身份,以此用户的名义发送恶意请求,比如:发送邮件、发消息、购买商品,虚拟货币转账等。 2、防御措施 1)验证请求来源地址。 2)关键操作添加验证码进行验证。 3)在请求地址或heder中添加 token ,后台进行验证。 ...
防止CSRF攻击三种方法
key_3_feng的博客
02-23 3445
如何防止 CSRF 攻击,具体来讲主要有三种方式:充分利用好 Cookie 的 SameSite 属性、验证请求的来源站点和使用 CSRF Token。这三种方式需要合理搭配使用,这样才可以有效地防止 CSRF 攻击
前端安全系列:如何防止CSRF攻击
2401_85280228的博客
02-28 1203
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
如何防范 CSRF 攻击
qq_38822390的博客
02-09 886
防范 CSRF(跨站请求伪造)攻击是确保 web 应用安全的重要措施。
如何有效防范CSRF攻击
03-30
嗯,用户问如何有效防范CSRF攻击。首先,我需要回忆一下CSRF的基本概念。CSRF是跨站请求伪造,攻击者诱导用户执行他们不想做的操作,比如修改密码或者转账。那防御措施通常有哪些呢? 记得之前学过的,比如使用CSRF...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值