csdf攻击原理和防御

最新推荐文章于 2024-07-09 21:19:38 发布
最新推荐文章于 2024-07-09 21:19:38 发布
阅读量561 收藏
点赞数
文章标签: csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49027290/article/details/118635573
版权

csdf攻击原理和防御

前言
csrf跨站请求伪造,是通过Cookie冒充用户的身份,向服务器发送请求,从而在用户不知情的情况下执行某些操作。

csdf的攻击条件

  1. 浏览器与服务器正在会话中。
  2. 欺骗用户访问URL。

csdf攻击过程

  1. 用户使用浏览器,访问受信任的网站A,输入如用户名和用户密码请求登陆网站A。
  2. 验证用户信息成功后,网站A服务器会返回Cookie信息给浏览器,浏览器保存Cookie信息,并且会话期间给A网站服务器发送请求会携带这个Cookie信息。
  3. 在未关闭A网站的情况下,用户浏览器打开了恶意B网站。
  4. B网站向A网站服务器发送恶意请求,浏览器会带上之前的Cookie信息,A网站服务器根据这个Cookie信息验证是用户的操作,并执行这个操作。

csdf防御

  1. 双重Cookie验证
    csdf攻击主要是利用cookie信息,虽然是在不同网站向同一个服务器发送请求,但是浏览器是会发送已经存在的相同的cookie信息。但是由于同源策列,其他页面不能读取不同源的cookie信息。

  2. 验证HTTP的Referer字段
    HTTP头的Referer字段记录了发送该请求的地址来源。当用户通过恶意网站发送请求时,该请求的Referer值是恶意网站的地址,所以服务端可以通过验证Referer值来防御CSRF攻击。

  3. 在请求地址中添加token并验证
    用户登陆后,服务器随机产生一个token,把token存放到服务器session中,以ajax或者放入到cookie中给到客户端。发送HTTP请求时从cookie中解析出token,以参数的形式加入token,并在服务器端建立一个拦截器来验证这个token和session的token是否相同,从而判断是否接收这个请求。

哈秋hhh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ČSFD.cz链接器「ČSFD.cz Linker」-crx插件
03-23
向每个IMDB.com链接添加一个链接到CSDF.com。 当您点击链接到IMDB.com上的电影或创作者的个人资料时,您将看到另一个链接指向CSFD.cz上的个人资料。 支持语言:čeština
CSRF攻击防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
CSDF攻击详解
NewMoons的博客
06-11 779
web html 安全
csdf
__52Hz__
07-28 565
原理介绍: https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF) DVWA学习-CSRF-Level Low http://www.219.me/posts/2431.html
XSS攻击CSRF攻击
charlene0824的博客
04-12 1617
XSS攻击CSRF攻击 XSS攻击 XSS(Cross SiteScript)跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。XSS攻击类似于S
[Authentication Fundamentals]CSRF攻击
lingfy1234的博客
11-07 177
CSRF的是Cross site request forgery的缩写,是指利用cookie的机制漏洞发起的攻击。本文会介绍Cookie的漏洞以及CSRF发起的流程
spark1.6将数据写入ES2.4.5冲突解决,自定义依赖包
Yuan_CSDF的博客
11-05 320
<?xml version="1.0" encoding="UTF-8"?> 4.0.0 <groupId>my.elasticsearch</groupId> <artifactId>es-shaded</artifactId> <version>2.4.5</version> <properties&g...
离线数仓(一)认识数据仓库
Yuan_CSDF的博客
06-08 1669
1.数据管理中心 1.1.数据库 引用百度百科的解释:数据库是“按照数据结构来组织、存储和管理数据的仓库”。是一个长期存储在计算机内的、有组织的、可共享的、统一管理的大量数据的集合。 数据库是长期储存在计算机内、有组织的、可共享的数据集合。 数据库中的数据指的是以一定的数据模型组织、描述和储存在一起。 具有尽可能小的冗余度、较高的数据独立性和易扩展性的特点并可在一定范围内为多个用户共享。 1.2.数据仓库 数据仓库,英文名称为Data Warehouse,可简写为DW或DWH。数据仓库,是为企业
Csrf攻击与防止
八点半技术站
11-05 1万+
CSRF 的全称是“跨站请求伪造”,而 XSS 的全称是“跨站脚本”。看起来有点相似,它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户,但前面说了,它们的攻击类型是不同维度上的分 类。CSRF 顾名思义,是伪造请求,冒充用户在站内的正常操作。 我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ...
离线数仓(三)数仓建模基本理论
Yuan_CSDF的博客
06-12 1753
1.建模目标 数据模型就是数据组织和存储方法,它强调从业务、数据存取和使用角度合理存储数据。Linux的创始人Torvalds有一段关于“什么才是优秀程序员”的话:“烂程序员关心的是代码,好程序员关心的是数据结构和它们之间的关系”,其阐述了数据模型的重要性。有了适合业务和基础数据存储环境的模型,那么大数据就能获得以下好处。 访问性能:能够快速查询所需的数据,减少数据I/O 数据成本:减少不必要的数据冗余,实现计算结果数据复用,降低大数据系统中的存储成本和计算成本 使用效率:改善用户应用体验,提高使用
java代码块相关问题
Yuan_CSDF的博客
03-20 197
1.什么是代码块   使用{}括起来的代码被称为代码块,根据其位置和声明的不同可以分为下面4种:     1.局部代码块,在方法中出现,限定变量生命周期,及早释放,提高内存利用率     2.构造代码块,在类中方法外出现;定义在类的成员位置,直接使用{ },在{}中写代码内容。每次调用构造都执行,并且在构造方法前执行     3.静态代码块, 在类中方法外出现,并加上static修饰;用于给类进行...
什么是 CSRF 攻击,如何避免
syilt的博客
05-29 2694
CSRF:Cross-Site Request Forgery(中文:跨站请求伪造),可以理解为攻击者盗用了你的身份,以你的名义发送恶意请求,比如:以你名义发送邮件、发消息、购买商品,虚拟货币转账等。 防御手段: 验证请求来源地址; 关键操作添加验证码; 在请求地址添加 token 并验证。 下面是CsrfFilter代码: /** * CSRF跨域请求伪造拦截 * 除登录以外的...
PHP-实例-CSRF
深度安全实验室
07-04 576
PHP-实例-CSRF
Forbidden (CSRF cookie not set.)
最新发布
weixin_53704902的博客
07-09 79
Forbidden (CSRF cookie not set.)
CSRF靶场通关合集
weixin_72543266的博客
07-07 822
最进系统的将从web渗透到内网渗透的知识点做一个回顾,同时结合一些实战的案例来演示,下面是对刚开始学习时对靶场的一个总结.
接上一篇文章,数据字典学习经验基础知识分享
07-09
关于自我学习软件工程数据字典基础知识必备干货分享
convnext-tiny-22k-224.pth模型文件
07-09
convnext-tiny-22k-224.pth模型文件
蓝桥杯介绍、心得、往年试题及相关练习
07-09
项目总结 本文详细介绍了蓝桥杯全国软件和信息技术专业人才大赛,包括其背景、参赛心得、往年试题及相关练习。通过学习和练习这些内容,参赛者可以提高自己的算法和编程能力,为蓝桥杯比赛做好充分准备。 蓝桥杯不仅是一个展示编程和算法能力的平台,也是一个提升综合素质和应对挑战的机会。通过参与比赛,参赛者可以积累宝贵的经验,与其他优秀选手交流学习,不断提高自身水平。希望本文能为准备参加蓝桥杯的选手提供有价值的参考,助力他们在比赛中取得优异成绩。
R2CSS架构与R2CSDF架构对比
05-25
R2CSS和R2CSDF都是用于电路设计的框架,但是它们的设计思路和实现方式略有不同。 R2CSS(Register-Register Circuit and Switch-level Simulation)是一种基于寄存器传输级(RTL)的电路设计框架,它主要用于数字电路的设计和仿真。R2CSS采用自顶向下的设计方法,将电路分解为多个模块,每个模块都包含输入、输出和状态,模块之间通过信号线连接。R2CSS框架可以对整个电路进行仿真,包括时序分析、时序优化和时序验证等。 R2CSDF(Register-Register Circuit and Switch-level Data Flow)则是一种基于数据流级(Data-Flow)的电路设计框架,它主要用于数字信号处理(DSP)电路的设计和仿真。R2CSDF采用自底向上的设计方法,将电路分解为多个数据流图,每个数据流图包含输入、输出和中间变量,数据流图之间通过数据流连接。R2CSDF框架可以对整个电路进行仿真,包括时序分析、时序优化和时序验证等。 总体来说,R2CSS和R2CSDF都是有效的电路设计框架,但是R2CSS更适用于数字电路的设计,而R2CSDF更适用于DSP电路的设计。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值