避免CSRF攻击的方案

最新推荐文章于 2025-01-15 18:25:09 发布
最新推荐文章于 2025-01-15 18:25:09 发布
阅读量585 收藏 8
点赞数 4
文章标签: csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mxydl2009/article/details/141302447
版权

CSRF攻击的方式

恶意网站发送对感兴趣网站的请求(或者正常网站发送恶意请求,但一般正常网站不可能这么做),显然,这肯定属于跨域请求了。

解决思路

跨域角度

首先,对跨域行为进行限制:

  • 限制cookie
    • 禁止第三方网站的cookie被携带:跨域请求时,不允许携带cookie。通过SameSite属性为strict来设置。
    • 限制cookie的作用范围:避免造成更大范围的攻击。
  • ajax请求:严格限制ajax请求的跨域白名单,并且服务端严格区分HTTP请求的动词,因为浏览器并不会阻止ajax的GET请求发出,服务端是可以处理跨域ajax的GET请求(以及OPTIONS、HEAD等),所以如果允许跨域ajax,则最多允许OPTIONS、HEAD、GET方法
  • 检查referrer首部

针对CSRF的方式

表单使用脚本自动提交

使用表单让脚本自动提交的方式可以进行CSRF攻击

form method="POST" action="https://www.a.com/update" enctype="multipart/form-data"> 
    <input type="hidden" name="hello" value="update state"/> 
    .....
    <input type="hidden" name="attack" value="csrf attack"/> 
</form> 
<script> 
    document.forms[0].submit();
</script>
  • 只使用JSON API:避免application/x-www-form-urlencoded的form提交
  • 避免使用POST请求:该form提交只能使用GET或者POST
  • 不要对form表单进行方法重写:不要将form的POST请求重写为PUT、DELETE等
使用CSRF token进行请求验证

服务端下发用于CSRF token用于请求验证,客户端使用脚本进行请求时,携带该token进行验证,而恶意网站是无法获取到该token的值。这种方式要求token值一定要是随机生成。

  • 在表单内植入该token值:<input type="hidden" name="csrf_token" value="{{ csrf_token_value }}" />
  • 在静态资源和a链接的URL内植入token:https://www.a.com/bbb/cc?a=b&csrf_token={{csrf_token_value}}
  • 跨域的脚本请求可以使用自定义首部携带该token
mxydl2009
关注
2024年csrf攻击原理与解决方法_CSRF攻击防御原理,2024年最新阿里架构师经验分享
2401_84911119的博客
05-13 631
2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。
CSRF防御方案
hdwlwang的博客
04-24 4986
我们也可以用自定义HTTP头的方法来防御CSRF攻击,因为虽然浏览器会阻止向外站发送自定义的HTTP头,但是允许向本站通过XMLHttpRequest的方式发送自定义HTTP头。比如,prototype.js这个JavaScript库就是使用这种方法,并且增加了 X-Requested-By头到XMLHttpRequest里面。
OAuth2.0 里面的 state 参数是干什么的?
过河的小卒子的博客
12-24 6322
OAuth2.0 里面的 state 参数是干什么的? 是为了防止CSRF 攻击
OAuth state参数 CSRF
heySister
12-10 1818
记录 之前觉得问题都是出在RP端的,比如没有正确校验state参数,没有正确使用state参数这些。刚刚突然发现其实IdP端也没有校验好。 有些网站压根就没有使用state参数,这种情况下,作为IdP端,应该是提示需要有随机参数的,但是像微信、微博都是当做正常情况下处理的。(可能是为了给应用网站提供更大的自主空间,允许他们使用自己定义的参数,毕竟讲道理只要应用网站做好校验,就可以避免漏洞的) 还发现CSDN在使用OAuth来绑定微信账号的时候,state参数是固定为了csdn,但是因为CSDN在绑定账号前需
防止CSRF攻击三种方法
key_3_feng的博客
02-23 3292
如何防止 CSRF 攻击,具体来讲主要有三种方式:充分利用好 Cookie 的 SameSite 属性、验证请求的来源站点和使用 CSRF Token。这三种方式需要合理搭配使用,这样才可以有效地防止 CSRF 攻击
57-java csrf防御方案
weixin_41775999的博客
09-01 484
当用户请求一个创建表单的页面时,服务器会生成一个唯一的令牌,并将其保存在session中,然后在表单中插入这个令牌。当用户提交表单时,服务器会检查表单中的令牌与session中的令牌是否一致,如果一致,则认为是合法的请求。服务器在响应中发送一个名为X-CSRF-Token的头信息,并要求客户端在后续的请求中将其作为X-CSRF-Token头信息进行发送。CSRF(跨站请求伪造)是一种攻击手段,它迫使已登录用户的web应用在没有用户知情的情况下,发送未经授权的请求。通常,同步令牌是最简单且易于实现的方法。
Java-如何防范CSRF攻击
了解➔熟悉➔掌握➔精通
01-02 4241
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造,也被称为:one click attack / session riding,缩写为:CSRF/XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。 XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的
如何防止CSRF攻击?
ccyzq的博客
03-17 4549
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
CSRF攻击原理与防御方案
Artisan_w
03-05 311
CSRF攻击的原理 CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 CSRF
api存在csrf攻击吗_使用rest api防止单页应用上的csrf攻击
weixin_26741563的博客
09-30 1372
api存在csrf攻击吗tl;dr — If your SPA uses a private REST API, use CORS and a CSRF Token header. If your SPA uses a public REST API, use a SameSite Strict cookie for mutating operations (if you only support...
环形防伪:环形中间件可防止CSRF攻击
01-31
CSRF攻击是一种恶意利用用户已登录的身份执行非用户意愿的操作,例如在用户不知情的情况下进行转账、修改密码等。这种攻击通常发生在用户在浏览器中同时打开两个网站,一个是有恶意代码的网站,另一个是用户已登录的...
网络安全 kali Web安全之CSRF攻击
xueshenlaila的博客
03-16 956
CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。
解决Django SimpleUI应用中的CSRF验证失败问题
TechEnthusiast的博客
01-15 359
在使用Django开发Web应用时,特别是集成了SimpleUI、ops和easyaudit等第三方应用时,有时会遇到CSRF (跨站请求伪造) 验证失败的问题。本文将详细介绍这个问题的原因以及几种可能的解决方案
风机盘管联网集成监控系统 新风控制系统
01-16
风机盘管联网集成监控系统 新风控制系统
AI实战-法国航空客户评论数据集分析预测实例(含6个源代码+1.65 MB完整的数据集).zip
01-16
AI实战-法国航空客户评论数据集分析预测实例(含6个源代码+1.65 MB完整的数据集) 代码手工整理,无语法错误,可运行。 包括:6个代码,共37.40 KB;数据大小:1个文件共1.65 MB。 使用到的模块: pandas numpy re sklearn.feature_extraction.text.CountVectorizer nltk.corpus.stopwords textblob.TextBlob wordcloud.WordCloud nltk seaborn matplotlib.pyplot sklearn.model_selection.train_test_split sklearn.ensemble.RandomForestClassifier sklearn.metrics.classification_report lime.lime_text.LimeTextExplainer os textstat.flesch_reading_ease warnings sklearn.feature_extraction.text.TfidfVectorizer sklearn.ensemble.ExtraTreesClassifier sklearn.ensemble.GradientBoostingClassifier sklearn.ensemble.AdaBoostClassifier sklearn.linear_model.LogisticRegression sklearn.svm.SVC xgboost.XGBClassifier lightgbm.LGBMClassifier sklearn.metrics.accuracy_score sklearn.metrics.confusion_matrix zipfile nltk.tokenize.word_tokenize nltk.stem.WordNetLemmatizer transformers.pipeline torch sklearn.decomposition.LatentDirichletAllocation collections.Counter squarify sklearn.metrics.roc_curve sklearn.metrics.auc sklearn.metrics.ConfusionMatrixDisplay sklearn.preprocessing.label_binarize pickle
AI实战-学生生活方式模式数据集分析预测实例(含24个源代码+69.54 KB完整的数据集).zip
01-16
AI实战-学生生活方式模式数据集分析预测实例(含24个源代码+69.54 KB完整的数据集) 代码手工整理,无语法错误,可运行。 包括:24个代码,共149.89 KB;数据大小:1个文件共69.54 KB。 使用到的模块: pandas os matplotlib.pyplot seaborn plotly.express warnings sklearn.model_selection.StratifiedShuffleSplit sklearn.pipeline.Pipeline sklearn.compose.ColumnTransformer sklearn.impute.SimpleImputer sklearn.preprocessing.OrdinalEncoder numpy sklearn.model_selection.cross_val_score sklearn.linear_model.LinearRegression sklearn.metrics.mean_squared_error sklearn.tree.DecisionTreeRegressor sklearn.ensemble.RandomForestRegressor sklearn.model_selection.train_test_split sklearn.preprocessing.PowerTransformer imblearn.pipeline.Pipeline imblearn.over_sampling.SMOTE sklearn.ensemble.AdaBoostClassifier sklearn.metrics.accuracy_score sklearn.metrics.precision_score sklearn.metrics.recall_score sklearn.metrics.f1_score optuna scipy.stats torch torch.nn torchvision.transforms torchvision.models torch.optim cv2 glob glob.glob torch.utils.data.DataLoader torch.utils.data.Dataset random.shuffle torch.utils.data.random_split torchsummary.summary matplotlib.ticker pyspark.sql.SparkSession pyspark.sql.functions.count pyspark.sql.functions.max pyspark.sql.functions.min pyspark.sql.functions.avg pyspark.sql.functions.stddev_samp pyspark.sql.functions.skewness pyspark.sql.functions.kurtosis pyspark.sql.functions pyspark.ml.feature.Tokenizer pyspark.ml.feature.VectorAssembler sklearn.preprocessing.LabelEncoder keras.models.Sequential keras.layers.Dense keras.utils.to_categorical ptitprince statsmodels.distributions.empirical_distribution.ECDF statsmodels.stats.outliers_influence.variance_inflation_factor ppscore sklearn.feature_selection.mutual_info_classif sklearn.decomposition.PCA sklearn.model_selection.StratifiedKFold sklearn.tree.DecisionTreeClassifier sklearn.metrics.balanced_accuracy_score sklearn.metrics.confusion_matrix mlxtend.plotting.plot_confusion_matrix scipy.stats.pearsonr scipy.stats.f_oneway sklearn.feature_selection.mutual_info_regression sklearn.feature_selecti
PHY6230拍照键兼容性问题20250115-090242.7z
01-16
适配文章:奉加微PHY6230兼容性:部分手机不兼容
AI实战-国际象棋游戏学习数据分析预测实例(含20个源代码+7.32 MB完整的数据集).zip
最新发布
01-16
AI实战-国际象棋游戏学习数据分析预测实例(含20个源代码+7.32 MB完整的数据集) 代码手工整理,无语法错误,可运行。 包括:20个代码,共20.61 KB;数据大小:1个文件共7.32 MB。 使用到的模块: pandas matplotlib.pyplot numpy os sqlite3
AI实战-信用卡申请风险识别数据集分析预测实例(含9个源代码+91.57 KB完整的数据集).zip
01-16
AI实战-信用卡申请风险识别数据集分析预测实例(含9个源代码+91.57 KB完整的数据集) 代码手工整理,无语法错误,可运行。 包括:9个代码,共44.98 KB;数据大小:1个文件共91.57 KB。 使用到的模块: pandas os matplotlib.pyplot seaborn wordcloud.WordCloud sklearn.model_selection.train_test_split sklearn.preprocessing.LabelEncoder sklearn.ensemble.RandomForestClassifier sklearn.metrics.accuracy_score sklearn.metrics.classification_report sklearn.metrics.confusion_matrix plotly.express plotly.subplots.make_subplots plotly.graph_objects plotly.io sklearn.base.BaseEstimator sklearn.base.TransformerMixin sklearn.preprocessing.StandardScaler sklearn.preprocessing.OrdinalEncoder sklearn.pipeline.make_pipeline sklearn.compose.make_column_transformer imblearn.over_sampling.RandomOverSampler sklearn.svm.SVC sklearn.tree.DecisionTreeClassifier sklearn.ensemble.HistGradientBoostingClassifier sklearn.ensemble.GradientBoostingClassifier sklearn.neighbors.KNeighborsClassifier sklearn.model_selection.GridSearchCV sklearn.ensemble.VotingClassifier torch lightning torchmetrics.Accuracy torch.utils.data.Dataset torch.utils.data.DataLoader numpy warnings matplotlib wordcloud.STOPWORDS collections.Counter sklearn.ensemble.ExtraTreesClassifier sklearn.ensemble.AdaBoostClassifier sklearn.ensemble.BaggingClassifier xgboost.XGBClassifier lightgbm.LGBMClassifier catboost.CatBoostClassifier sklearn.linear_model.LogisticRegression sklearn.model_selection.RandomizedSearchCV sklearn.preprocessing.MinMaxScaler imblearn.over_sampling.SMOTE
Rails实现CSRF令牌缓存解决方案
为了防止CSRF攻击,Web应用通常会在用户登录时生成一个安全令牌,并在随后的每次请求中要求客户端发送这个令牌。服务器通过比对请求中的令牌与服务器保存的令牌来验证请求的有效性。这样即使攻击者能够诱骗用户发起...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值