CSRF-跨站点请求伪造

最新推荐文章于 2024-03-19 12:00:00 发布
最新推荐文章于 2024-03-19 12:00:00 发布
阅读量697 收藏
点赞数
分类专栏: Web开发安全 文章标签: csrf 前端 java Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oscar999/article/details/127561856
版权

CSRF 概念

CSRF, 全写是Cross-Site Request Forgery(跨站请求伪造)。指的是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。

在这里插入图片描述

CSRF 还有一些其他的别名:

  • XSRF 。 这个应该是为了和XSS 保持一致, 关于 XSS可以参考
  • Cross Site Reference Forgery 跨站参考伪造。 这个和Cross-Site Request Forgery 意思差不多。
  • Session Riding , 会话骑行。
    CSRF的别名为什么叫回话骑行呢? 这个可以从CSRF 的发生的过程来看。

CSRF 是怎么发生的?

对于需要验证身份的Web 网站和应用, 一般的验证方式都是使用用户名/密码进行登录, 登录之后在一段时间内,浏览器和服务端之间好像保持了连接。这段时间就叫做Session ,也就是回话。 浏览器是怎么实现这个机制的呢?
其实很简单, 登录之后,服务端生成一串字符返回给浏览器,这串字符称为回话的ID , 在服务端。这个ID 对应了一个回话的对象, 里面保存着用户名等信息。
浏览器将这个字符串保留在本地, 每次请求的时候的时候都会将这个ID发送到服务端, 服务端通过这个ID h获取回话的对象, 验证是否有效? 是否过期等?
以Chr

了解本专栏 订阅专栏 解锁全文 超级会员免费看
oscar999
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
flask中的csrf防御机制
FreeSpider
07-17 2037
csrf概念 CSRF(Cross-site request forgery)请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击...
CSRF请求伪造实例程序
11-07
一个php做的简单的银行管理系统,利用cookie值来达到伪造请求的目的,最终造成银行账户余额被修改。
请求伪造CSRF)攻击原理及预防手段
m0_47905795的博客
06-02 4804
随机化Token(CSRF Token):Token是用于验证网站请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
【burpsuite安全练兵场-客户端12】站点请求伪造CSRF-12个实验(全)
最新发布
wangluoanquan111的博客
03-19 1705
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-
一文带你学习站点请求伪造CSRF
大河之犬的博客
11-12 1931
在web应用中,很多接口通过GET进行数据的请求和存储,如果未对来源进行校验,并且没有token保护,攻击者可以直接通过发送含有payload的链接进行诱导点击;最后,普通的参数如果也被加密或哈希,将会给数据分析工作带来很大的困扰,因为数据分析工作常常需要用到参数的明文。比如一个“论坛发帖”的操作,在正常情况下需要先登录到用户后台,或者访问有发帖功能的页面。但是验证码并非万能。正因为P3P头目前在网站的应用中被广泛应用,因此在CSRF的防御中不能依赖于浏览器对第三方Cookie的拦截策略,不能心存侥幸。
xss和csrf详解
weixin_33737774的博客
08-29 306
XSSCross site scripting,全称“站脚本”特点是不对服务器造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论时,提交含有js的内容文本,而服务器没有过滤掉或者转义掉这些脚本,作为内容发布到页面上,那么其他用户在访问的时候就会运行这些脚本。for example:​ // 用 <script type="text/javascript"></scrip...
CSRF请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
Django中如何防范CSRF站点请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF站点请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
electrode-csrf-jwt:使用JWT的无状态站点请求伪造CSRF)保护
02-03
为了防止这种情况,此模块使用的技术类似于CSRF ,并且依赖于浏览器的以下两个限制: 站点脚本无法读取/修改Cookie。 站点脚本无法设置标题。 依赖于以下事实:cookie中的唯一令牌必须与隐藏在表单提交字段中的...
请求伪造 CSRF 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 837
请求伪造 CSRF 漏洞原理以及修复方法
干货!!学习 CSRF 请求伪造,看这一篇就够了
喜欢Python编程的程序员柚柚呀
06-21 507
才行。其实很简单,比如我们使用 QQ,看看 QQ zone,突然蹦出个包含中奖或者问卷调查链接的聊天窗口(或者是。。。),这个腾讯做了防范,但是我们收到封邮件包含此内容,很多用户会选择去点击在网上找了张图片很能说明这个过程。
请求伪造CSRF
浪漫鼠
05-27 3064
以下转自:http://www.cnblogs.com/dolphinX/p/3403520.html CSRF是Cross Site Request Forgery的缩写,乍一看和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF伪造成合法用户发起请求。 在XSS危害——session 劫持中我们提到了session原理,用户登录后会把登录信息存放在
CSRF(Cross-Site Request Forgery) 请求伪造
Eason_LYC安全白帽子的成长博客
05-13 1502
WEB安全中CSRF漏洞攻击最为全面的知识点总结,直击核心知识点,将零散的知识汇总梳理。为深入学习CSRF打下良好基础!
漏洞篇(CSRF请求伪造
m0_58001548的博客
04-17 1487
CSRF(Cross-site request forgery,请求伪造)也被称为 One Click Attack(单键攻击)或者 Session Riding,通常缩写为 CSRF 或者 XSRF。forgery [ˈfɔːdʒəri] 伪造;Riding [ˈraɪdɪŋ] 驾驭马匹;骑马。
CSRF漏洞详解(请求伪造
m0_52293697的博客
11-21 420
CSRF漏洞原理 请求伪造 DVWA靶场 挖洞思路
站点请求伪造(CSRF)总结和防御
bluemoon_0的博客
02-04 1920
站点请求伪造(CSRF)总结和防御
CSRF(请求伪造)
无痕的博客
01-18 7825
csrf请求伪造介绍、csrf攻击在dvwa环境中的应用
web前端安全性——CSRF请求伪造
qq_53911056的博客
02-21 1060
CSRF请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。我们前端怎么解决与避免...
java如何解决站点请求伪造_站点请求伪造CSRF
06-09
Java中可以通过以下几种方式来解决站点请求伪造CSRF)问题: 1. 防止重复提交:可以在页面中添加一个唯一的token,每次提交时都要验证token是否合法,如果不合法就拒绝请求。 2. 验证Referer头:可以在服务器端验证请求的Referer头,判断它是否是合法的域名。 3. 验证用户身份:可以在服务器端对用户身份进行验证,如果不是合法用户就拒绝请求。 4. 使用验证码:可以在表单中添加验证码,防止机器人恶意提交表单。 5. 使用HTTPOnly Cookie:可以将Cookie设置为HTTPOnly属性,禁止JavaScript读取该Cookie,从而防止CSRF攻击。 综上所述,Java可以通过多种方式来解决站点请求伪造CSRF)问题,开发人员需要根据实际情况选择合适的方式来保护系统安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

oscar999

送以玫瑰,手留余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值