前后端分离的防御csrf攻击的思路

最新推荐文章于 2024-05-02 22:57:51 发布
最新推荐文章于 2024-05-02 22:57:51 发布
阅读量9.9k 收藏 2
点赞数 2
分类专栏: csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nlcexiyue/article/details/111688857
版权

学习了Spring Security权限框架后,讲到了csrf攻击的东西,前后端不分离还好,我直接每次加载页面就发送token,然后我服务端的token存储在redis中就行,每次请求我都更新token,达到安全的访问。

但是前后端不分离的时候,难道要前端每次都单独请求一次后端获取token吗?然后带着token再去访问后端?

那么单独的这一次请求后端怎么知道是非攻击呢?

这查了好多都没有有效的方法!

在知乎上一个大佬说:

前端直接加密生成一个token,后端收到token后解密,但是后端怎么知道解密的就是安全的东西呢?

还有,如果设置了token的失效时间为半个小时呢?每次请求都带着这个长期的token去请求后端,这个可行吗?

想了好久,我还没能想出来一个比较合适的思路去解决这个问题,大家有什么高见呢?

2020年12月29日更新

上面的问题从一开始就不是成立的,token是用户使用用户名和密码登录之后才会生成的,并且有过期时间,其他的攻击行为我觉着是无法获取到token的,除非有登录用户自己使用token来攻击,那就攻击呗,反正我有token做幂等性,恶意的请求也翻不了什么浪,而且有权限框架在,一些权限不够的请求是直接拦截的,再过分点,一个高权限的用户来搞事情,大量相同ip请求过来,直接可以在权限框架中token那部分给他屏蔽了,他的ip获取不了token了,显示给他账号冻结!完事~

某科学的南条
关注
专栏目录
CSRF攻击原理与防御方法
墨痕诉清风的博客
02-25 4594
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 3905
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
SpringBoot 如何防御 CSRF 攻击
mry6的博客
04-29 1591
接下来,用户首先访问 csrf-simulate-web 项目中的接口,在访问的时候需要登录,用户就执行了登录操作,访问完整后,用户并没有执行登出操作,然后用户访问 csrf-loophole-web 中的页面,看到了超链接,好奇这美女到底长啥样,一点击,结果钱就被人转走了。因为在 CSRF 攻击中,黑客网站其实是不知道用户的 Cookie 具体是什么的,他是让用户自己发送请求到网上银行这个网站的,因为这个过程会自动携带上 Cookie 中的信息。在登录成功后回调的详细解释。
关于前后端分离项目CSRF等一系列问题的理解小结
MSB4011的博客
07-06 768
CSRF和CORS的问题上搞了这么久,一个是因为平时工作忙,学这些东西陆陆续续的,另外也确实是因为这些个问题一环套一环,想要完全解决掉需要理解并处理很多问题同时,自己对于这个问题最终通过服务端允许跨域+前端保持相同ip的解决方式并不满意,后续将尝试使用Node.js代理的方式来解决个问题。
前后端分离架构下CSRF防御机制
weixin_33884611的博客
07-03 1241
  背景 1、什么是CSRF攻击? 这里不再介绍CSRF,已经了解CSRF原理的同学可以直接跳到:“3、前后端分离下有何不同?”。 不太了解的同学可以看这两篇对CSRF介绍比较详细的参考文章: CSRF 攻击的应对之道 浅谈CSRF攻击方式 如果来不及了解CSRF的原理,可以这么理解:有一个人发给你一个搞(mei)笑(nv)图片链接,你打开这个链接之后...
前后端分离解决CSRF问题
ws_flying的博客
10-22 3288
个人记录,如有错误,敬请指出 项目环境:spring boot+shiro+jwt 简单方式直接通过nginx对Referer进行校验拦截即可,本文不做讲解 1、创建CsrfFilter import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.ht
django前后端分离_CSRF解决方案
sola_酱的博客
06-21 1876
前言 现在都是采用前后端分离的方式,所以并不能采用传统的发送,直接在渲染页面的时间加上csrftoken。 我也看好多网上写的方案,都乱,所以我总结一下: 首先有两张方法,都是直接关掉csrf的,一个是在setting.py里面关掉csrf中间件,另一种是在view视图里面加上装饰器,以达到我们的目的,都是我觉得这样的方式太激进了,不行我们就关掉?我不喜欢这样的方法,所以我在下面没有介绍,如果你们也想这样,可以去看看别人写的,有思路,找起来也不难。 不关闭csrf的解决方案 思路 想办法在静态页面生成的
csrf java随机数_前后端分离架构下CSRF防御机制
weixin_36454202的博客
02-25 316
背景1、什么是CSRF攻击?这里不再介绍CSRF,已经了解CSRF原理的同学可以直接跳到:“3、前后端分离下有何不同?”。不太了解的同学可以看这两篇对CSRF介绍比较详细的参考文章:如果来不及了解CSRF的原理,可以这么理解:有一个人发给你一个搞(mei)笑(nv)图片链接,你打开这个链接之后,便立刻收到了短信:你的银行里的钱已经转移到这个人的帐户了。2、有哪些防御方案?上面这个例子当然有点危言耸...
实现 CSRF 攻击简单示例
weixin_33989780的博客
06-21 2478
为什么80%的码农都做不了架构师?>>> ...
解决django前后端分离csrf验证的问题
09-19
今天小编就为大家分享一篇解决django前后端分离csrf验证的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
CSRF(跨站请求伪造)攻击防御
本章将介绍CSRF攻击的定义、原理以及攻击者的基本思路。 ## 1.1 定义和原理 CSRF攻击是一种利用Web应用中的信任关系进行的攻击。其原理是攻击者构造一个恶意网页,使受害者在访问该网页的同时,触发对目标网站的...
CORS跨域漏洞的学习
墨痕诉清风的博客
10-03 1897
0x00 从浏览器的同源策略说起 SOP,同源策略 (Same Origin Policy),该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。 浏览器的同源策略规定:不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源。那么何为同源呢,即两个站点需要满足同协议,同域名,同端口这三个条件。 SOP是一个很好的策略,但是随着Web应用的发展,网站由于自身业务的需求,需要实现一些跨域
前后端分离使用 CSRF
Leon_Jinhai_Sun的博客
05-23 679
前后端分离开发时,只需要将生成 csrf 放入到cookie 中,并在请求时获取 cookie 中令牌信息进行提交即可。 修改 CSRF 存入 Cookie @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { htt
前后端分离下的跨域问题以及CSRF攻击
09-18 371
  前段时间新工程刚开始搞前后端分离,于是使用了一直被传的神乎其神的vue,在使用一段时间后,发现自己再也回不去以前用jquery操作dom的时代了。这个东西确实牛逼,大大简化了开发的工作量,将dom呈现从逻辑剥离出去,使开发人员更专注于注业务实现。但是前后端分离页因此带来了一系列问题,比如典型的跨域问题。于是趁着研究跨域解决方案的机会,我顺带着把session和token之间一直模糊的...
laravel框架下 前后端分离开发时 通过AJax请求单独获取加密后的csrf_token
回头是岸
11-10 5416
后端对post的请求都会校验CSRF,(只有在路由的middleware中设置了[csrf]时才会在客户端的cookie中产上一个XSRF-TOKEN),由于前面这个情况 是没有经过含有 csrf的middleware校验 所以在客户端没有XSRF-TOKEN,但是在这个页面提交表单的时候又需要验证csrf,所以必须要单独获取这个token
常见网络攻击方式介绍及短信防攻击策略的后端实现
weixin_41910244的博客
06-01 2575
大家好,今天给大家分享一下:几种常见的网络攻击方式的介绍以及短信防攻击策略的后端实现。 一、背景介绍 有人的地方就有江湖,有数据交互的地方,就存在入侵风险。 只有知己知彼,才能百战不殆。我们学习相关知识不是为了去攻击别人的服务器,只是为了防范于未然。 攻击的种类多种多样:SQL注入,旁注,XSS跨站,COOKIE欺骗,DDOS,0day 漏洞,社会工程学 等等等等。 二、知识剖析 1....
Spring Security CSRF防御&源码分析
Charge8的博客
01-14 3662
Spring Security CSRF防御&源码分析
Spring Security 前后端分离登录,非法请求直接返回 JSON
最新发布
afsdfrsg的博客
05-02 28
学习技术是一条慢长而艰苦的道路,不能靠一时激情,也不是熬几天几夜就能学好的,必须养成平时努力学习的习惯。所以:贵在坚持!最后再分享的一些BATJ等大厂20、21年的面试题,把这些技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于篇幅有限,上面只是以图片的形式给大家展示一部分。Mybatis面试专题MySQL面试专题并发编程面试专题《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!MySQL面试专题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值