referer和token谁更安全?

最新推荐文章于 2024-03-28 12:46:20 发布
最新推荐文章于 2024-03-28 12:46:20 发布
阅读量923 收藏
点赞数
分类专栏: 网安面试宝典 文章标签: 安全 网络 面试 referer token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56578216/article/details/132792809
版权
文章探讨了referer和token在安全层面的优劣。虽然token的安全等级通常被认为更高,因为它不会在HTTPS转为HTTP时发送,且需具备随机性和不可预测性。而referer的安全隐患包括可被某些版本的FLASH自定义,以及验证过程可能存在的过滤不全问题。验证方法方面,两者都需要完善的策略,如token需防止重放攻击和信息泄露,referer验证则应注意空referer和过滤规则的完整性。
摘要由CSDN通过智能技术生成

referer和token谁安全等级高?

token安全等级更高,因为并不是任何服务器都可以取得referer,如果从HTTPS跳到HTTP,也不会发送referer。并且FLASH一些版本中可以自定义referer。

但是token的话,要保证其足够随机且不可泄露。(不可预测性原则)

referer不是所有服务器都有的,如果协议从HTTPS降级为HTTP,也不会有referer,而token必须保证它的随机性和不可泄露,所以token的安全等级更高。

referer如何验证?

对header中的referer的验证,一个是空referer,一个是referer过滤或者检测不完善。

为了杜绝这种问题,在验证的白名单中,正则规则应当写完善。

对于referer的验证,一个是是否为空,即检查是否存在referer字段,第二个就是是否过滤机制完善,有没有存在漏洞。

token如何验证?

引用一段请教前辈的回答:

针对token的攻击,一是对它本身的攻击,重放测试一次性、分析加密规则、校验方式是否正确等,二是结合信息泄露漏洞对它的获取,结合着发起组合攻击

信息泄露有可能是缓存、日志、get,也有可能是利用跨站

很多跳转登录的都依赖token,有一个跳转漏洞加反射型跨站就可以组合成登录劫持了

另外也可以结合着其它业务来描述token的安全性及设计不好怎么被绕过比如抢红包业务之类的

对token的检查和验证应该与其他漏洞的防御相结合,如XSS攻击,因为针对token的攻击往往是与其他漏洞一起利用的。

EMT00923
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
fiddler CSFF安全漏洞-重点讲解refer字段、token字段
ZYXia888的博客
12-14 2639
1、通常情况下,有三种方法可以被用来防御CSRF攻击: 验证token 验证HTTP请求的Referer 验证XMLHttpRequests里的自定义header 2、测试验证上面三种方法的步骤 验证token 注意:token应该要有随机性和时效性, 时效性:可以等待一段时间后,重新请求是否能请求成功,如果请求成功,那就是有问题 随机性:每一次token值应该是不一样的 验证HTTP请求的Referer fiddler 找到请求的http后,在头文件找到refer字段,编辑后,直接搞为空,或
CSRF 原理与防御案例分析
weixin_43639741的博客
04-22 744
CSRF,也称 XSRF,即跨站请求伪造攻击,与 XSS 相似,但与 XSS 相比难防范,是一种广泛存在于网站中的安全漏洞,经常与 XSS 一起配合攻击。 CSRF 原理 攻击者通过盗用用户身份悄悄发送一个请求,或执行某些恶意操作。 CSRF 漏洞产生的主要原因: 1、请求所有的参数均可确定 2、请求的审核不严格,如:只验证了 Cookie 关于 CSRF 的执行过程,这里引用自 hyddd 大...
tokenreferer的区别
最新发布
qq_59020256的博客
03-28 172
2.referer并不是每一个服务器都存在,比如将https降级为http时就不会存在referer了。1.token的每一次数值都是随机的,使得token的验证安全,因此tokenreferer安全
tokenrefer
Slueia的博客
03-12 313
https://my.oschina.net/u/4303535/blog/4809671
互联网视频防盗链的研究(referer,Token防盗链)
记录生活中的点滴美好,活在当下!
07-24 1532
一.盗链的定义:某内容不在自己服务器上,而通过技术手段,绕过别人放广告有利益的最终页,直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传的小网站来盗取一些有实力的大网站的地址(比如一些音乐、图片、软件的下载地址)然后放置在自己的网站中,通过这种方法盗取大网站的空间和流量。内容不在自己服务器上,而通过技术手段,绕过别人放广告有...
互联网视频防盗链的研究(referer,Token防盗链) - 简书.webarchive
07-17
关于IPv6很详尽的描述,介绍了各种基本知识,包括1Pv6 编址、ICMPv6 与邻居发现协议、1Pv6 路由、DHCPv6 等内容,并详细讨论了包括双枝、 隧道、转换在内的各种1Pv4 向1Pv6 迁移的过渡技术。
93道网络安全面试题目
07-20
“93道网络安全面试题目” 从给定的文件信息中,我们可以总结出以下知识点: 1. SQL 注入攻击 * 定义:攻击者在 HTTP 请求中注入恶意的 SQL 代码,使服务器使用参数构建数据库 SQL 命令时,恶意 SQL 被一起构造,...
web安全前端编码规范1
08-04
- 实施token验证机制,确保请求的有效性和安全性。 五、变量安全使用 1. UI变量在HTML标签中或属性值中使用时,应确保经过适当的转义。 2. 在JavaScript环境中使用UI变量时,需考虑JavaScript的特性,进行相应的...
前端性能优化与Web安全
08-26
- 配合防火墙和安全策略,强化用户教育提高安全意识,如识别DNS劫持和恶意广告。 5. **验证码**: - 普通验证码、滑动验证码、识物和算术验证码用于防止自动化攻击,提高用户验证的安全性。 综上所述,前端性能...
csrf绕过Referer技巧-01
09-15
CSRF绕过Referer技巧详解 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者可以通过构造恶意页面诱骗用户...同时,使用Burpsuite自动生成POC可以帮助我们好地测试和防御CSRF攻击。
网络安全面试
weixin_43778463的博客
08-13 2525
网络安全相关面试
不同于TokenRefer头校验的另一种CSRF防御办法
18年3月萌新白帽子
12-24 2349
        事情的情况是这样的,前段时间在工作中发现XX系统存在CSRF漏洞,我在数据包内并未看到对应的Token参数,测试Refer头后发现XX系统并未对请求来源(refer)进行相关校验。我便认为此处存在CSRF漏洞并将该漏洞发送给了XX系统的相关负责人。 但是过了几天后XX系统的负责人发来一份反馈邮件,邮件说他们系统做了CSRF校验但用的不是Token也不是Refer。而是如下方法: ...
CSRF 攻击的应对之道
sarck3的专栏
02-12 1059
简介: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析
什么是HTTP Referer?
weixin_34128839的博客
11-16 5076
什么是Referer? Referer是HTTP请求header的一部分,当浏览器(或者模拟浏览器行为)向web服务器发送请求的时候,头信息里有包含Referer。比如我在www.sojson.com里有一个www.baidu.com链接,那么点击这个www.baidu.com,它的header信息里就有: Ref...
Referer校验
热门推荐
luzhangtong的博客
08-24 1万+
Referer是http协议中定义的,Referer就是上一个页面的地址,这个是浏览器会在点击一个链接时自动添加到请求头中的   查看一个request信息: GET /adjs.php?n=348893119&what=zone:382&charset=utf-8&exclude=,&referer=http%3A//topic.csdn.net/u/20...
验证HTTP Referer字段
紫天专栏
06-25 1万+
1 、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。   1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未
理解HTTP Referer
曼木的博客
10-07 1348
是什么 HTTP 请求的头信息里面,Referer是一个常见字段,提供访问来源的信息。 Referer 的发生场景 浏览器向服务器请求资源的时候,Referer字段的逻辑是这样的,用户在地址栏输入网址,或者选中浏览器书签,就不发送Referer字段。 主要是以下三种场景,会发送Referer字段。 (1)用户点击网页上的链接。 (2)用户发送表单。 (3)网页加载静态资源,比如加载...
referer和token
04-30
Referer是HTTP请求头中的一个字段,用于标识请求...综上所述,Referer和Token是两个不同的概念,但都与HTTP请求有关。Referer用于标识请求来源,而Token则用于验证请求的合法性。它们在网络应用开发中都有重要的作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

EMT00923

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值