csrf攻击

最新推荐文章于 2023-05-04 21:24:20 发布
最新推荐文章于 2023-05-04 21:24:20 发布
阅读量204 收藏
点赞数
分类专栏: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mistyraine/article/details/52523357
版权

跨站请求伪造,黑客诱使用户访问自己的网址然后获取用户在某一网站上的cookie信息伪造成用户身份通过构造表单向目标网站发送请求进行操作。

 

防范方法

1.输入验证码

  最简单暴力的方式,但是用户体验太差

2.验证http头部的Referer字段

  黑客用CSRF的方法时,整个流程是在用户的浏览器中从黑客的地址发送请求到目标网址,因此Referer的内容就是黑     客的地址,所以只要验证referer的内容是固定某一域名下即可。

  缺点:Referer的值是由浏览器提供的,某些浏览器的Referer可以被修改,且有些用户因为隐私问题会禁止浏览   器发送Referer。

 

3.生成token放在表单元素或http请求头自定义属性中并验证

   csrf攻击是提前伪造已知的参数并通过cookie进行验证并发送请求,但不能获取cookie里面具体的值,所以可以生成    随机的token去验证来预防csrf,这个token是存储在session中,不会被黑客获取到。

 

mistyraine
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux常用命令
学Java,找哪吒
05-31 5万+
Linux是我多年的心结,主要是因为工作中没有接触过,作为一个程序员,真的是奇葩,在我心里,Linux,有一种神秘感,总觉得熟练掌握Linux的都是大神,遥想当年,2019年11月份,我与公司的另一个资深员工(大概10年工作经验)去贵州出差,现场主要是Linux服务器操作,我是一脸蒙蔽,人家噼里啪啦一顿操作,搞定,我在一旁只能是羡慕嫉妒恨,也有另一种心情,因为不会,没活一身轻。
【Linux】Linux常用命令60条(含完整命令语句)
最新发布
wzk4869的博客
09-13 13万+
【Linux】Linux常用命令60条(含完整命令语句)
Linux最常用的15个基本命令
yanxiang3306
05-04 2万+
Linux最常用的15个基本命令
Linux常用命令大全——赶紧收藏
日常记录
07-16 14万+
史上最全的Linux常用命令都在这里啦! 全是干货!建议收藏起来,反复观看!
Linux面试必备20个常用命令(文末免费下载Linux命令大全工具)
热门推荐
努力让自己发光,对的人才能迎着光而来
10-11 24万+
Linux面试必备20个常用命令(文末免费下载Linux命令大全工具)1·3
Flask模拟实现CSRF攻击的方法
09-20
# Flask 模拟实现 CSRF 攻击方法详解 CSRF(Cross Site Request Forgery,跨站请求伪造)是一种网络攻击手段,它利用了用户已经登录并持有有效会话(如 Cookie)的情况,使得攻击者可以在不知情的情况下,通过诱使...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
Python Django框架防御CSRF攻击的方法分析
09-18
下面我们将深入探讨Django如何防御CSRF攻击,以及如何配置和使用这些防御策略。 首先,我们需要了解Django防御CSRF攻击的基本原理: 1. **生成CSRF令牌**:当Django渲染HTML模板时,它会在每个需要防护的POST表单...
CSRF攻击的应对之道
01-30
CSRF(Cross ...然而,该攻击方式并不为大家所熟知,很多网站都有CSRF的安全漏洞。本文首先介绍 CSRF的基本原理与其危害性,然后就目前常用的几种防御方法进行分析,比较其优劣。最后,本文将以实例展示如
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
Linux 命令
Free Bar
09-03 8467
linux 查看系统信息命令是linux初学者必备的基础知识, 这些命令也非常有用, 因为进入linux第一件事就可能是首先查看系统信息, 因此必要的系统的学习一下这些linux系统信息命令还是非常有必要的! 下面给除了各linux发行版比较常用的系统信息查询的命令, 大家可以参考, 同时也可以测试学习, 必要的时候man, 一定要学学使用man命令, 呵呵 # uname -a #
linux常用命令大全,linux常见命令(指令)介绍
linux粉丝团
09-28 3万+
linux常用命令大全,linux常见命令介绍
Linux:20个linux常用命令
IC Beginner的博客
07-21 13万+
文章目录20个linux常用命令1. ls:列出文件list2. cd:切换目录change directory3. cp:复制copy4. mv:移动move5. rm:移除,删除remove6. mkdir:创建文件夹make directory7. rmdir:移除,删除文件夹remove directory8. chown:更改所有者change owner9. chmod:更改文件的权限模式change mode10. find:查找11. |:管道12. grep:按行查找并匹配13. tar:
Linux系统常用基本命令总结
AlbertYang的博客
11-13 8万+
目录 Linux基本命令 Linux的简介 Linux的厂商 Linux的目录结构 基于虚拟机的环境搭建 常用命令与示例 一、文件基本操作命令 1. ls命令 2. pwd命令 3. mkdir命令 4. cd命令 5. touch命令 6. cp命令 7. mv命令 8. rmdir命令 9. rm命令 10. cat命令 11 more和 les...
1、Linux常用命令、目录管理、文件属性、文件内容查看、Linux硬链接与软链接、vim编辑器、用户管理和用户组管理
ShawnYue_08的博客
09-12 1773
文章目录走进Linux系统常用的基本命令目录管理文件属性文件内容查看Linux链接Vim编辑器账号管理用户组管理 走进Linux系统 开机 开机会启动许多程序。它们在Windows叫做"服务"(service),在Linux就叫做"守护进程"(daemon)。 开机成功后,它会显示一个文本登录界面,这个界面就是我们经常看到的登录界面,在这个登录界面中会提示用户输入用户名,而用户输入的用户将作为参数传给login程序来验证用户的身份,密码是不显示的,输完回车即可! 一般来说,用户的登录方式有三种: 命令
Linux日常使用操作命令
shiyunzhou94的博客
01-06 285
1、安装unzip命令 yum install -y unzip zip 2、进入该目录下,为所有.sh文件赋予执行权限:      chmod +x *.sh 3、运行kettle作业命令 ./kitchen.sh -file:TimingInsert.kjb -logfile=kettle.log 4、运行kettle转换命令 ./pan.sh -file:ins
linux常用命令(详解)
Axn_很优秀
08-29 15万+
一、日常使用命令/常用快捷键命令 开关机命令         1、shutdown –h now:立刻进行关机         2、shutdown –r now:现在重新启动计算机         3、reboot:现在重新启动计算机         4、su -:切换用户;passwd:修改用户密码         5、logout:用户注销 常用快捷命令         1、...
常见的15条linux命令(建议收藏)
qq_47125845的博客
10-26 299
命令1:pwd pwd显示当前的工作路径,查看位置所在。 命令2:ls ls命令十分常用,ls指的是list,查看文件或者目录的命令。添加参数后常用为: ls :查看目录中全部的文件 ls -l :显示文件和目录中的全部信息 ls -a :列出全部文件,包含隐藏文件,其中a表示为all ls -R :连同子目录中的文件全部列出,相当于是递归列出全部内容,也就是说该目录下的所有文件的都会被显示出来 ls [0-9]:显示包含数字的文件名和目录名 命令3:cp cp就是copy复制的意思,用于复制文件,该
CSRF 攻击 攻击原理
06-11
CSRF攻击的工作原理是攻击者构造一个恶意请求,然后诱导用户访问带有恶意请求的页面。当用户访问该页面时,浏览器会自动发送请求到Web应用程序,由于请求中包含了用户的合法身份认证信息(如cookie等),Web应用程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值