跨站点请求伪造的处理方法

最新推荐文章于 2024-02-11 14:00:38 发布
最新推荐文章于 2024-02-11 14:00:38 发布
阅读量4.8k 收藏
点赞数
分类专栏: 其他 文章标签: 跨站点请求伪造
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liangmengbk/article/details/117367372
版权

使用安全软件对网站扫描后报出“跨站点请求伪造”的漏洞。

 

根据推理信息,提示没有参数是动态的。这个url是注销登录的请求,并不需要传递参数,那我想到的解决方案就是制造一个动态的参数,这样就可以让扫描软件以为是有动态参数的,解决此问题。

代码如下:

//注销登录
function handleLogOff() {
    var randomNum = Math.ceil(Math.random() * 10000);   // 获取从 1 到 10000 的随机整数,取 0 的概率极小。
    $.ajax({
        type: "post",
        url: "LogOff.aspx",
        data: { random: randomNum },//这里传递个随机整数,没有实际意义,为了解决安全扫描的中危漏洞:跨站点请求伪造
        success: function (data) {
            window.location.href = "Login.aspx";
        }
    });
}

在点击注销按钮时调用此方法,传递随机生成的random参数。

 

再次用软件进行扫描,发现不再报这个漏洞了。

梁萌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
站点请求伪造(CSRF)总结和防御
bluemoon_0的博客
02-04 1990
站点请求伪造(CSRF)总结和防御
站点请求伪造解决方案
水调码头
07-28 1179
近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。前一篇博客介绍了启用了不安全的HTTP方法的解决方案,有兴趣请移步启用了不安全的HTTP方法解决方案。1.站点请求伪造首先,什么是站点请求伪造站点请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式。 说的白话一点就是,别的站点伪造
【ASP.NET编程知识】浅谈ASP.NET MVC 防止请求伪造(CSRF)攻击的实现方法.docx
05-21
【ASP.NET编程知识】浅谈ASP.NET MVC 防止请求伪造(CSRF)攻击的实现方法.docx
站点请求伪造(CSRF攻击)漏洞原理和解决指南
日拱一卒无有尽,功不唐捐终入海
12-15 9093
站点请求伪造(CSRF)是一种常见的Web安全漏洞,攻击者利用该漏洞可以以被攻击用户的身份执行未经授权的操作。下面是CSRF攻击的原理:1. 用户登录网站:用户在一个网站上登录,并获取了有效的会话凭证(如Cookie)。2. 攻击者准备攻击页面:攻击者准备一个恶意网页,该网页会在用户浏览器中加载并执行。3. 用户访问恶意网页:用户在登录网站后,访问了攻击者准备的恶意网页,该网页中包含了攻击者构造的恶意请求
xss和csrf详解
weixin_33737774的博客
08-29 314
XSSCross site scripting,全称“站脚本”特点是不对服务器造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论时,提交含有js的内容文本,而服务器没有过滤掉或者转义掉这些脚本,作为内容发布到页面上,那么其他用户在访问的时候就会运行这些脚本。for example:​ // 用 <script type="text/javascript"></scrip...
Tomcat怎样防止请求伪造(CSRF) 1
08-08
Tomcat 防止请求伪造(CSRF)机制浅析 在 Web 应用开发中,请求伪造(CSRF)是一种常见的安全威胁。请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...
Django中如何防范CSRF站点请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF站点请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CSRF(请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
强大的防御站点请求伪造.pdf
08-01
配套博客:https://blog.csdn.net/qq_41739364/article/details/96846943
请求伪造CSRF
浪漫鼠
05-27 3073
以下转自:http://www.cnblogs.com/dolphinX/p/3403520.html CSRF是Cross Site Request Forgery的缩写,乍一看和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。 在XSS危害——session 劫持中我们提到了session原理,用户登录后会把登录信息存放在
站点请求伪造(Cross-Site Request Forgery:CSRF)解决方案
weixin_33806300的博客
07-06 730
2019独角兽企业重金招聘Python工程师标准>>> ...
如何解决站点请求伪造
热门推荐
沉底的石头
11-21 3万+
IBM appscan扫描漏洞--站点请求伪造 appscan修订建议: 如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie  的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求。 攻击者无法猜测这个参数的原因是应用于 cookie  的“同源策
请求伪造 CSRF 漏洞原理以及修复方法
最新发布
it知识分享 free for nothing..
02-11 945
请求伪造 CSRF 漏洞原理以及修复方法
【已解决】站点请求伪造
专注于Java领域开发 关注我 带你玩转Java
06-16 2892
解决站点请求伪造
java如何解决站点请求伪造_站点请求伪造(CSRF)
weixin_39620001的博客
02-13 2054
一、前言站点请求伪造(Cross-SiteRequest Forgeries, CSRF),是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击;有如下危害:1、利用已通过认证的用户权限更新设定信息;2、利用已通过认证的用户权限购买商品,虚拟货币转账;3、利用已通过认证的用户权限在留言板发表言论;二、攻击原理:第一步:验证用户访问存在CSR...
Web网络的CSRF请求伪造基本原理是什么,如何防御?
weixin_35755562的博客
12-28 244
请求伪造(Cross-Site Request Forgery, CSRF)是一种恶意攻击,目的是在用户不知情的情况下,让用户的浏览器执行恶意请求。这种攻击利用了浏览器在同一站点内的身份验证凭证,例如Cookie,来执行恶意请求请求伪造攻击的基本原理是,攻击者向受害者发送一个包含恶意请求的链接,例如通过电子邮件、即时通讯或社交媒体平台发送。如果受害者点击了该链接,浏览器就会自动向目标站...
请求伪造(CSRF)攻击原理及预防手段
m0_47905795的博客
06-02 5469
随机化Token(CSRF Token):Token是用于验证网站请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值