避免CSRF攻击的方案

于 2024-08-18 17:20:13 发布
阅读量285 收藏 6
点赞数 3
文章标签: csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mxydl2009/article/details/141302447
版权

CSRF攻击的方式

恶意网站发送对感兴趣网站的请求(或者正常网站发送恶意请求,但一般正常网站不可能这么做),显然,这肯定属于跨域请求了。

解决思路

跨域角度

首先,对跨域行为进行限制:

  • 限制cookie
    • 禁止第三方网站的cookie被携带:跨域请求时,不允许携带cookie。通过SameSite属性为strict来设置。
    • 限制cookie的作用范围:避免造成更大范围的攻击。
  • ajax请求:严格限制ajax请求的跨域白名单,并且服务端严格区分HTTP请求的动词,因为浏览器并不会阻止ajax的GET请求发出,服务端是可以处理跨域ajax的GET请求(以及OPTIONS、HEAD等),所以如果允许跨域ajax,则最多允许OPTIONS、HEAD、GET方法
  • 检查referrer首部

针对CSRF的方式

表单使用脚本自动提交

使用表单让脚本自动提交的方式可以进行CSRF攻击

form method="POST" action="https://www.a.com/update" enctype="multipart/form-data"> 
    <input type="hidden" name="hello" value="update state"/> 
    .....
    <input type="hidden" name="attack" value="csrf attack"/> 
</form> 
<script> 
    document.forms[0].submit();
</script>
  • 只使用JSON API:避免application/x-www-form-urlencoded的form提交
  • 避免使用POST请求:该form提交只能使用GET或者POST
  • 不要对form表单进行方法重写:不要将form的POST请求重写为PUT、DELETE等
使用CSRF token进行请求验证

服务端下发用于CSRF token用于请求验证,客户端使用脚本进行请求时,携带该token进行验证,而恶意网站是无法获取到该token的值。这种方式要求token值一定要是随机生成。

  • 在表单内植入该token值:<input type="hidden" name="csrf_token" value="{{ csrf_token_value }}" />
  • 在静态资源和a链接的URL内植入token:https://www.a.com/bbb/cc?a=b&csrf_token={{csrf_token_value}}
  • 跨域的脚本请求可以使用自定义首部携带该token
mxydl2009
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何防止CSRF攻击?
ccyzq的博客
03-17 4310
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
环形防伪:环形中间件可防止CSRF攻击
01-31
CSRF攻击是一种恶意利用用户已登录的身份执行非用户意愿的操作,例如在用户不知情的情况下进行转账、修改密码等。这种攻击通常发生在用户在浏览器中同时打开两个网站,一个是有恶意代码的网站,另一个是用户已登录的...
Java-如何防范CSRF攻击
了解➔熟悉➔掌握➔精通
01-02 4130
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造,也被称为:one click attack / session riding,缩写为:CSRF/XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。 XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的
CSRF攻击原理与防御方案
Artisan_w
03-05 279
CSRF攻击的原理 CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 CSRF
CSRF攻击
qq_48904485的博客
03-21 2687
一、CSRF漏洞简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为One Click Attack 或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常 不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击性往往不大流行(因此对其进行防范的资源也相对少)和难以防范,所以被认为比XSS更具危险性。 二、CSR
CSRF攻击的解决方案
qinheJ的博客
08-09 6599
CSRF 背景与介绍   CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。   然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail...
csrf攻击 java_Web常见攻击手段-CSRF攻击
weixin_34797871的博客
02-21 208
什么是CSRF攻击?跨站请求伪造(Cross-Site Request Forgery, CSRF),恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求,由于同一浏览器进程下 Cookie 可见性,导致用户身份被盗用,完成恶意网站脚本中指定的操作。尽管听起来跟XSS跨站脚本攻击有点相似,但事实上CSRF与XSS差别很大,XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自...
XSS攻击CSRF攻击
热门推荐
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
就一次!带你彻底搞懂CSRF攻击与防御
公众号:该用户快成仙了
08-09 1044
跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。----来自维基百科简单来说就是黑客冒充你执行一些恶意行为。跨站可以理解为你登录了A网站,然后访问了恶意B网站。HTTP请求。
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
CSRF(Cross-site request forgery)攻击CSRF攻击利用用户已登录的身份,通过诱导用户点击含有恶意请求的链接或表单,执行非用户意愿的操作。防范CSRF通常需要使用CSRF Token,这是一个随机生成的、一次性的令牌...
xsrfutil:用于防止AppEngine上CSRF攻击的简单库
05-20
**XSRFUtil库详解:保护AppEngine应用免受CSRF攻击** 在Web开发中,跨站请求伪造(Cross-Site Request Forgery, CSRF)是一种常见的安全威胁,它允许恶意用户在用户已登录的网站上执行非预期的操作。为了应对这种...
Django中ajax发送post请求 报403错误CSRF验证失败解决方案
09-18
在Django框架中,CSRF(Cross-Site Request Forgery,跨站请求伪造)...无论是直接在请求头中添加`X-CSRFToken`,还是在请求体中添加,只要能确保Django后端可以验证到合法的CSRF令牌,就可以避免CSRF验证失败的问题。
不同版本浏览器前端标准兼容性对照表以及CORS解决跨域和CSRF安全问题解决方案.docx
10-26
- **SameSite Cookie属性**:设置Cookie的SameSite属性为"Lax"或"Strict",限制Cookie在特定类型的跨站请求中发送,从而降低CSRF攻击的风险。 总之,前端开发者需要关注浏览器的兼容性问题,理解并应用如CORS和CSRF...
Django | 从中间件的角度理解跨站请求伪造(Cross-Site Request Forgey)[CSRF攻击]
HG0724的博客
08-14 344
Django在一定的运算下比对两个暗号 是一致的 就不会发生403错。网页报错403,CSRF验证失败,同时给出了我们具体的解决方案。到这里,你应该进一步理解了CSRF攻击的原理了吧。是CRSF能否验证通过 的关键。我们通过一个案例来理解。
大物实验下MOOC题目答案 .pdf
最新发布
08-18
文件概述: 大物实验下MOOC题目答案.pdf 是为物理学实验课程中的MOOC题目提供的答案汇编文件。该文件专门为物理学科的实验课程设计,旨在帮助学生更好地理解实验内容和提高解决问题的能力。文件内容涵盖了大量的实验题目及其详细答案,提供了一种有效的复习和学习工具。 文件内容: 实验题目:涵盖了物理实验课程中的各种MOOC题目,这些题目包括实验设计、数据分析、理论验证等方面,帮助学生深入理解实验内容。 详细解答:针对每个题目提供了详细的解答步骤和方法,包括实验操作流程、数据处理过程和理论分析。这些解答帮助学生理解实验的关键步骤和原理。 解题技巧:提供了一些解题技巧和常见错误的分析,帮助学生在实际实验和问题解答中避免常见陷阱,提高解题效率。 使用说明: 下载并打开该PDF文件后,建议学生首先浏览实验题目,然后仔细阅读对应的答案和解答步骤。通过对比自己的实验结果和答案,检查理解和解决方法的准确性。利用解答中的技巧和方法,进一步提高自己的实验操作和数据分析能力。 该文件旨在作为学习和复习的辅助工具,帮助学生有效地掌握物理实验课程的核心知识点,提升实验技能和问题解决能力。
2024申博白皮书(面试攻略、笔试攻略)
08-18
白皮书旨在帮助硕士生了解和规划申博之路。它首先分析了博士申请形势,包括招生人数增加、报考人数增多等趋势,并介绍了国内外申博的多种类型,例如直博、统考、审核制、同等学力申博等。接着,白皮书详细讲解了如何选择院校和套磁导师,以及申博文书的撰写技巧,包括个人简历、研究计划、个人陈述和推荐信。最后,白皮书还提供了复试的攻略,包括笔试和面试的准备方法,以及常见问题的回答思路。总而言之,这份白皮书为硕士生申博提供了全面的指导和参考。 一、博士申请形势分析 博士招生人数: 分析了近年来博士招生人数的增长趋势,以及不同高校的招生情况。 二、博士申请类型 三、选择导师和套磁 四、申博文书 五、复试 复试类型: 介绍了笔试和面试两种复试类型,以及各自的考查重点。 笔试攻略: 介绍了笔试的时间安排、答题次序、文字书写、答题量、重点突出、思维严谨、难题偏题应对等方面的技巧。 面试类型: 介绍了与导师单独面试和由院校委员组织的多人面试两种面试形式,以及面试委员会的组成人员。 面试攻略: 介绍了常规准备、informal 面试和正式面试的注意事项,以及常见的面试问题。 六、常见问题汇总 列举了十个常见的面试问题
Delphi 12 控件之ZipForge-695.zip
08-18
ZipForge_695.zip
基于语义分割,对GEOTIFF格式的光学卫星遥感图像进行多种地表类型的实时面积计算,并进行时序预测+python源代码+文档说明
08-18
<项目介绍> - 基于语义分割,对GEOTIFF格式的光学卫星遥感图像进行多种地表类型的实时面积计算,并进行时序预测 - 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
CSRF token invalid
09-06
CSRF token invalid是一个常见的错误信息,通常出现在服务端无法接受post请求时。CSRF(跨站请求伪造)是一种web攻击方式,目的是利用用户在一个网站上已登录的身份来进行恶意操作。为了防止这种攻击,服务端会生成一个CSRF token,并将其与表单一起发送给客户端。客户端在发送post请求时需要将该token作为请求的一部分发送给服务端。服务端会比对请求中的CSRF token和自己生成的token是否一致,如果不一致,则会返回"invalid csrf token"错误信息。 要解决CSRF token invalid错误,有几种可能的解决方案。一种是在服务端的配置文件中关闭CSRF防范,这样可以避免在本地测试时出现该错误。另一种解决方案是增加适当的插件,比如yhsd-api插件,在使用该插件后,可以直接通过app.Yhsd获取yhsd-api,无需额外的require('yhsd-api')操作。同时,该插件还提供了一些常用的方法,可以帮助处理CSRF token相关的问题。 总结起来,解决CSRF token invalid错误的方法主要包括关闭CSRF防范和使用适当的插件来处理CSRF token。具体的实现方式可以根据你的需求和具体的技术栈来选择。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Egg post 失败 { message: 'invalid csrf token' } 解决方案](https://blog.csdn.net/weixin_43704471/article/details/90763103)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [yhsd-egg:友好速搭插件开发egg.js:egg:扩展框架——yhsd-egg:egg:!](https://download.csdn.net/download/weixin_42123456/18521303)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值