嗯嗯,老了,写点东西防止忘记(1) 基于验证token防止csrf攻击

最新推荐文章于 2025-06-20 08:10:39 发布
转载 最新推荐文章于 2025-06-20 08:10:39 发布 · 1k 阅读 · 3
文章标签:

#csrf #token

相关文章链接:https://www.ibm.com/developerworks/cn/java/

http://blog.csdn.net/eclipser1987/article/details/5159106

最近坐着负责的系统老是被扫漏洞,心酸不已,对于网络安全防范这块还真不是了解很多,这不就来不坑了么。。。今天遇到的漏洞是csrf攻击,虽然后台对用户session进行了校验,但是道高一尺魔高一丈,整出了xsrf攻击的幺蛾子,本人负责的系统虽然不涉及金钱,但是还是改改吧,所以先去上网看了些资料。

首先什么事csrf攻击:CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,就是攻击者在受害者登录系统session未失效的时候伪造一些网页给受害者点击,这时候受害者不知不觉就在系统里进行了操作,有个简单的例子:CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作。比如说,受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 的存款转到 bob2 的账号下。通常情况下,该请求发送到网站后,服务器会先验证该请求是否来自一个合法的 session,并且该 session 的用户 Bob 已经成功登陆。黑客 Mallory 自己在该银行也有账户,他知道上文中的 URL 可以把钱进行转帐操作。Mallory 可以自己发送一个请求给银行:http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory。但是这个请求来自 Mallory 而非 Bob,他不能通过安全认证,因此该请求不会起作用。这时,Mallory 想到使用 CSRF 的攻击方式,他先自己做一个网站,在网站中放入如下代码: src=”http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory ”,并且通过广告等诱使 Bob 来访问他的网站。当 Bob 访问该网站时,上述 url 就会从 Bob 的浏览器发向银行,而这个请求会附带 Bob 浏览器中的 cookie 一起发向银行服务器。大多数情况下,该请求会失败,因为他要求 Bob 的认证信息。但是,如果 Bob 当时恰巧刚访问他的银行后不久,他的浏览器与银行网站之间的 session 尚未过期,浏览器的 cookie 之中含有 Bob 的认证信息。这时,悲剧发生了,这个 url 请求就会得到响应,钱将从 Bob 的账号转移到 Mallory 的账号,而 Bob 当时毫不知情。等以后 Bob 发现账户钱少了,即使他去银行查询日志,他也只能发现确实有一个来自于他本人的合法请求转移了资金,没有任何被攻击的痕迹。而 Mallory 则可以拿到钱后逍遥法外。


所以其实感觉俺的系统不该也行,因为没啥重要的东西,现在在网上找些资料看看进行如何防止:1,验证http referer,就是判断请求的来源地址是本网站,2就是基于token,通过token判断是不是攻击者伪造的请求。

方案有了,首先就确定token的生成策略,网上找了半天,感觉有个靠谱的,把代码贴出来供大家参考:

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

/**
 * 令牌处理器
 * 
 * @author Vicky
 * @emial eclipser@163.com
 * 
 */
public class TokenProcessor {

	private static TokenProcessor instance = new TokenProcessor();

	private long previous;

	protected TokenProcessor() {
	}

	public static TokenProcessor getInstance() {
		return instance;
	}

	public synchronized String generateToken(String msg, boolean timeChange) {
		try {

			long current = System.currentTimeMillis();
			if (current == previous) 				current++; 
			previous = current; 
			MessageDigest md = MessageDigest.getInstance("MD5");
			md.update(msg.getBytes());
			if (timeChange) {
				// byte now[] = (current+"").toString().getBytes();
				byte now[] = (new Long(current)).toString().getBytes();
				md.update(now);
			}
			return toHex(md.digest());
		} catch (NoSuchAlgorithmException e) {
			return null;
		}
	}

	private String toHex(byte buffer[]) {
		StringBuffer sb = new StringBuffer(buffer.length * 2);
		for (int i = 0; i < buffer.length; i++) {
			sb.append(Character.forDigit((buffer[i] & 240) >> 4, 16));
			sb.append(Character.forDigit(buffer[i] & 15, 16));
		}

		return sb.toString();
	}
}

 下面就是整改了唉,网上方法五花八门看凌乱了都,我觉定还是自己弄个filter 把token放session里 和页面传过来的比较了事咯,扎心了老铁。

m0_37728052
关注
44.vue-element-admin在header里增加X-CSRFToken
坐忘了说画
06-05 605
是一种安全机制,用于跨站请求伪造保护。在Vue.js项目中,可能使用了Django框架,而Django要求所有的POST请求携带一个CSRF token验证请求的合法性。
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击
jinyangjie的博客
02-14 7407
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
vue-csrf:一个Vue.js插件,用于获取CSRF令牌
05-25
vue-csrf 一个Vue.js插件,用于获取CSRF令牌 安装 yarn add vue-csrf 或者 npm install vue-csrf --save 用法 进口包装 import VueCsrf from 'vue-csrf' ; Vue . use ( VueCsrf ) ; 或带有选项 import VueCsrf from 'vue-csrf' ; Vue . use ( VueCsrf , { selector : 'meta[name="csrf-token"]' , // selector of csrf element with csrf-token value attribute : 'content' , //attribute of csrf-token element } ) ; 然后您可以通过下一个命令获取csrf令牌
[Web 安全] 如何通过JWT防御CSRF
weixin_34311757的博客
09-07 822
名字都是用来唬人的。 先解释两个名词,CSRF 和 JWT。 CSRF (Cross Site Request Forgery),它讲的是你在一个浏览器中打开了两个标签页,其中一个页面通过窃取另一个页面的 cookie 来发送伪造的请求,因为 cookie 是随着请求自动发送到服务端的。 JWT (JSON Web Token),通过某种...
csrfToken方案
SAN_YUN的专栏
04-30 422
我们现在的csrfToken是基于cookie的,在表单页面产生一段csrfToken并且写入cookie,提交表单的时候服务器验证。 这种方案的缺点是写入cookie比较麻烦,其实不必写入cookie,页面产生加密的csrfToken:用户id+时间戳,服务器接受请求之后反解即可。 ...
如何通过JWT防御CSRF
weixin_34203426的博客
12-30 1679
2019独角兽企业重金招聘Python工程师标准>>> ...
CSRF攻击Token验证错误的报错与修复
最新发布
shejizuopin的博客
06-20 989
摘要:本文探讨了CSRF(跨站请求伪造)攻击防御中Token验证的常见错误及修复方法。文章分析了Token不匹配、缺失和配置不当等报错原因,提供了Node.js+Express、Spring Boot等框架的代码示例和解决方案。通过表格示例对比了不同框架的Token验证问题,强调了确保Token一致性、正确传输和配置检查的重要性。文章建议通过调试日志和安全审计提升应用安全性,并加强开发人员安全意识培训。
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
CSRF攻击报错Forbidden (403)Token验证与SameSite Cookie
shejizuopin的博客
05-29 1004
摘要:本文详细解析了CSRF攻击原理及解决方案。CSRF攻击通过伪造用户请求执行未授权操作,常见报错为Forbidden (403)。主要防护措施包括:1Token验证(如Flask-WTF和Django内置CSRF保护);2)SameSite Cookie设置(Strict/Lax/None)。文中提供各框架的代码示例和对比表格,建议根据应用场景选择合适方案,必要时可结合其他安全措施增强防护。
详解php curl带有csrf-token验证模拟提交方法
10-18
为了防止跨站请求伪造(CSRF攻击,网站开发者会在表单中加入一个一次性使用的随机令牌(token)。该令牌会在服务器端生成,并在用户提交表单时验证其有效性。 本篇内容将详细介绍如何使用PHP curl进行带有CSRF...
前台Vue、后台Django、设置axios解决csrf_token问题
10年职场两茫茫,35岁凄凉奈若何
07-10 426
前台Vue、后台Django、设置axios解决csrf_token问题
vue前端 django 后端解决csrf问题,亲测有效
追梦小狂魔的博客
04-01 3091
首先是后端,用户访问首页的时候通常不会有csrf问题,在这里添加cookie from django.middleware.csrf import get_token csrf_token = get_token(request) response= render(request, "index.html") response.set_cookie('csrf_token', csrf_token) return response 这样csrf就随着cookie一起过去了 然后是axios的设置 添加请
Spring Security - CookieCsrfTokenRepository.withHttpOnlyFalse() 模板
m0_56231256的博客
11-29 934
Spring Security - CookieCsrfTokenRepository.withHttpOnlyFalse() 模板
vue.js php接口安全验证,如何使用Laravel API CSRF令牌在请求Vue.js上生成身份验证令牌...
weixin_39716921的博客
03-27 347
如何从Laravel API获取Auth令牌并立即在http / ajax / axios请求中使用该令牌?JS / ClientVue.axios.post('http://laravelApi:8000/here', {someData}).then(response->{console.log(response.data);});PHP / APIroute::post('/here'...
【Vue】登录查看权限控制(token
程序员养成计划
11-16 3334
Vue中的登录查看权限控制
VUE django 跨域、csrf令牌问题
qq_41710802的博客
05-30 667
使用VUE django前后分离,跨域跟django CSRF令牌是个很头疼问题,跨域问题解决方法很多,bing一下就有很多这里先略过,主要讲一下令牌用法,取消令牌检测这里有提到。
Spring Security Web : HttpSessionCsrfTokenRepository
Details Inside Spring
06-23 4004
概述 介绍 HttpSessionCsrfTokenRepository是一个基于HttpSession保存csrf token的存储库实现。它具有如下能力: saveToken 保存csrf token到http session loadToken 从http session中提取csrf token generateToken 生成csrf token,值为一个随机UUID 继承关系 使...
网络安全:(四)Vue 项目中的 CSRF 攻击及防御
一名热衷于技术的全栈开发者,专注于前端与后端的全面技术探索。在这里,我将分享我在技术领域的学习与成长,助力更多开发者的进步。
10-21 1730
CSRF 攻击是一种常见的安全威胁,但通过合理的防御策略,我们可以有效地保护应用程序。通过集成 CSRF Token、配置 CORS 策略和使用 SameSite Cookie 属性,可以显著提升应用的安全性。在进行开发时,务必将 CSRF 防护作为重要的一环,确保用户数据和操作的安全。建议在实现 CSRF 防御的同时,定期审计代码和依赖库,及时更新以防止潜在的安全漏洞。如果你在实现过程中有任何问题或建议,欢迎在评论区讨论!希望本篇文章能够为你在 Vue 项目的安全实践中提供帮助。上一篇。
编码技巧——HTTP接口安全防范CSRF攻击
娜娜米的博客
04-19 3828
​ 上一篇《编码技巧——HTTP接口安全防范CORS攻击》介绍了同源策略、跨域、CORS,本篇介绍下CRSF漏洞及常用服务端解决方案; 思考一个问题:如果你说 同源策略SOP 就是“禁止跨域请求”,这也不完全准确,因为本质上 SOP 并不是禁止跨域请求,而是在请求后拦截了请求的回应。因此——这就会引起CSRF漏洞,即被恶意网站模拟的、带上了cookies(虽然由于SOP策略读不到cookies信息)的、非用户预期的请求,已经打到了服务端的接口上!
token能同时防止重放攻击csrf攻击
05-31
是的,token可以同时防止重放攻击CSRF攻击CSRF攻击是指攻击者盗用了用户的身份信息,在用户不知情的情况下,以用户的名义发送恶意请求。为了防止这种攻击,可以在用户登录成功后,为该用户生成一个独一无二的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值