【无标题】

最新推荐文章于 2024-06-04 22:07:30 发布
最新推荐文章于 2024-06-04 22:07:30 发布
阅读量452 收藏
点赞数
文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiaqia2580/article/details/128960865
版权

CSRF (Cross Site Qequest Forgery)–跨站点请求伪造
CSRF工作原理
在这里插入图片描述

CSFR的特点:
攻击一般发起在第三方网站,而不是被攻击的网站,被攻击的网站无法防止攻击发生(但是可以防御csrf)。
攻击利用受害者在被攻击网站的登录凭证,冒充受害者提交操作,而不是直接窃取数据。整个过程攻击者并不能获取到受害者的登录凭证,仅仅是“冒用”。(攻击者只能利用cookie而不能获取cookie)
CSRF攻击方式
1、通过图片的img src属性,自动加载,发起GET请求

<img

src="http://xxxxx.com/bank/tansfer.php?nameid=2002&amount=1000"width="0"height="0">

2、构建一个超链接,用户点击以后,发起GET请求

<a

herf="http://xxxxxx.com/tansfer.php?amount=1000&to=jiangang"taget="blank">

小姐姐在线视频聊天!!

<a/>

3、构建一个隐藏表单,用户访问,自动提交,发起POST请求

**漏洞防御**: 1、**访问控制安全管理:**

(1)、敏感信息的修改需要对身份证进行二次验证,比如修改账号时,需要判断旧密码;

(2)、敏感信息的修改使用post,而不是get;

(3)、通过http头部中的referer来限制原页面

2、增加验证码:

一般用在登录(防暴力破解),也可以用在其他重要信息操作的表单中(需要考虑可用性)

referer验证

3、Anit CSRF Token
在form表单后头信息中专递token
token存储在服务端
服务端通过拦截器验证有效性
检验失败的拒绝请求
​ (1)、使用用户名密码登录,服务端下发一个随机的token字段,并且服务端把这个字段保存在session中。(服务端生成token发给客户端)

session_start();

if(empty($_SESSION['token'])){

	$SESSION['token']=bin2hex(random_betes(32));

}

$token= $_SESSION['token']

​ (2)、客户端把这个token保存起来,放到隐藏字段

​ (3)、用户在登录状态下,在访问的时候,都要携带这个token字段

​ (4)、服务器端从session中拿出token值进行对比,如果一致,说明合法

if (!empty($_POST['token'])){
	if(hash_equals($_SESSION['token'],$_POST['token'])){
        //执行业务逻辑
    }else{
        //..
    }
}

​ (5)、用户退出,session销毁,token失效

不见人见月
关注
以post请求获取图片流在img里展示
李也的博客
11-29 4079
后端接口要求携带参数,post请求获取图片,并且请求错误时返回统一json。 <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta charset="utf-8" /> <title>New Document</title> <meta name="generator" content="EverEdit" /> <m
关于imgsrc的地址为Servlet类的地址的问题及解决方案
Programming_pioneers的博客
08-04 4419
刚才在用java web做一个验证码发现一些问题。 我是使用servlet类,在这个类中生成验证码,然后通过imgsrc调用这个类的地址,然后调试发现总是出现这样的情况 但是我使用的是post,没用get啊 验证码 public void doPost(HttpServletRequest req
requests.get(img_url).content
weixin_35750953的博客
01-05 673
request.get(img_url).content 是用来获取指定URL地址的图像内容的。 其中,requests 是一个第三方库,可以用来发送 HTTP 请求。get 方法是用来发送 HTTP GET 请求的。img_url 是图像的URL地址。.content 属性是用来获取响应内容的,返回的是二进制数据。 例如,如果你想获取一张网络图像并保存到本地,可以这样写: import requ...
vue img图片 axios请求携带参数、系统头Header
@you的博客
11-23 4246
最近需求要求系统下载图片携带token系统头验证权限,一般的imgsrc下载是get请求且不经过axios全局配置,会携带不上token。所以不能用img,只能自己写一个图片组件替代img 自己建一个组件 authImg 核心 <template> <img ref="img" /> </template> <script> export default { name: 'authImg', props: { authSrc: {
【React】为img标签的src请求添加自定义头部,添加token,实现前端带身份向后端请求图片
29的博客
12-03 1万+
目录应用场景尝试解决一:尝试解决二:总结: 应用场景 问题:前端写入指定的img标签和src属性,请求不了后端图片。 原因:401,UnauthorizedError,因为前端中的src属于普通的get请求,不带自定义header,而后端有对每个请求都进行身份验证,最终返回 { status: 1, msg: "TOKEN ERROR" } 前端请求头中找不到 Authorization: Bearer token.... 那请求的接口都有对axios进行拦截,但是img标签的src不经
img标签 三种获取数据方式
Claroja
08-10 4315
1.通过静态文件加载 <img src="./test.png"> 2.通过字节传递二进制图片文件 from jinja2 import Template,FileSystemLoader,Environment env = Environment(loader=FileSystemLoader("./")) template = env.get_template("./test.html") import matplotlib.pyplot as plt x = [1,2,3] y = [
c#实现无标题栏窗口的拖动
09-05
本篇文章将详细讲解如何在C#中实现这种无标题栏窗口的拖动以及其他基本操作。 首先,为了实现无标题栏窗口的拖动,我们需要处理窗体的鼠标事件。窗体的`FormBorderStyle`属性应设置为`None`,这会去除窗体的边框和...
Qt无标题窗口
05-21
在本文中,我们将深入探讨如何使用Qt框架创建一个无标题窗口,这在界面设计和自定义标题栏美化中非常有用。我们将关注`framelesswidget.cpp`、`main.cpp`、`framelesswidget.h`等核心文件,理解它们在实现无标题窗口...
C#创建无标题栏窗体
03-16
摘要:C#源码,菜单窗体,无标题栏窗体 C#创建无标题栏窗体源码,实际上是动态显示或隐藏窗体的标题栏,当隐藏的时候就类似窗体没有了标题栏,当显示标题栏的时候,鼠标按住标题栏即可拖动窗体,以前记得网友需要此...
Delphi实现拖动按钮移动无标题栏窗口
05-11
摘要:Delphi源码,界面编程,窗体拖动,无标题无标题栏的窗体的拖动功能实现,Delphi添加一个可拖动窗体的按钮,通过对此按钮的控制可移动窗体,实现按住标题栏移动窗口的功能,无标题栏也就不能显示最大化、最小化...
VC去掉'无标题'字样的方法.zip
11-21
在使用Visual C++进行编程时,我们经常会在创建新的窗口或者对话框时默认看到标题栏显示为“无标题”。这可能会对用户界面的美观性和专业性造成一定的影响。本资料包提供了一种方法来帮助开发者去掉这个“无标题”...
后台生成验证码 前台img点击onclick事件 路径后加随机数 get请求
nutnutnutnutnut的博客
01-14 563
<img onclick="changeCode(this)" id="codeJPG" alt="" src="/code/image" style="cursor:pointer;"> function changeCode(obj) { obj.src = "/code/image?" + Math.random(); } 路径后面一定要加随机数,get请求时,会缓存请求。当下一次请求的地址和请求参数不变时,浏览器会使用缓存,而不触发请求。所以要在地址后面加一个动态改变的内容,
post请求提交图片链接地址,地址被截断
ohnk_的博客
05-22 905
原本是想实现在数据库做一个存放图片地址的字段(varchar类型) 想在页面输入图片地址保存到数据库 在另一个界面把数据库里面的图片地址给到 imgsrc 属性,显示出来 BUG:图片链接通过post 请求保存到数据库被截断,链接不完整导致图片最后显示不出来。 经过一遍一遍调试之后发现是在 post 请求这里出了问题,因为图片地址里面有 & 这样的符号,使得链接被二次分割,识别为两个参数。 解决方法:对获取图片链接先进行处理保存进数据库,从数据库获取时再反处理。用 unescape() .
img标签请求 添加自定义header(二)
a736755244的博客
05-29 6488
img标签 添加自定义请求头
javascript获取、设置修改imgsrc属性(get/setAttribute)
热门推荐
weixin_45673401的博客
04-07 4万+
在开发网站过程中,事先就设置好了图片imgsrc性,一般来说很少修改这个属性,网站加载时直接显示事先设置好的图片。但如果网页要求实现滚屏加载图片(动态加载图片),也就是一次不显示网页内的所有图片,当滚动屏幕时再显示进入屏幕区的图片。这样不但可以减少对服务器的请求次数,而且能大大节省服务器的流量。 滚屏加载图片事先把网页内要动态显示图片的所有src属性设置为一张小图,待要显示目标图片时再把src属...
src赋值中如何设置post方式请求_通过挖掘某某 src 来学习 json csrf
weixin_39624733的博客
01-28 955
本文作者:comical(信安之路首次投稿作者)在某某 src 进行渗透测试的过程中,发现一个评论的地方并没有对次数进行限制且在数据区域也没有 token 的字眼,因此猜测此处存在 csrf 漏洞,于是就开始了漫长的学习之旅前置知识CSRF:关于 csrf 漏洞相信大家都有了解,而且百度 google 大部分都比我讲的好,这里我就不解释了,贴张图把Json CSRF: 通常我们的 csr...
img标签突然发送请求问题
最新发布
元元猿的博客
06-04 209
在做项目过程中突然出现一个发送请求的报错404,一直找不到哪里调的这个接口,后来将代码一段一段注释测试出 是img标签导致发送请求。在数据接口未返回数据前,imgsrc被初始化为一个空对象,导致调用当前路径+object。imgsrc设置一个初始值,或者在数据未返回前,不设置img标签的src属性。imgsrc为空或者为#时,都会发起一次请求,浏览器会用当前路径发起一次请求。
vue中动态修改img标签中src的方法
黄钢的博客
07-04 7999
首先看vue中img标签的常规写法当src需要动态修改时,有点麻烦,经常忘记,记录一下。
POST请求
cjx177187的博客
08-06 888
/ 如果"POST"就会把这个请求的数据放在"请求数据包"-HTTPRequestMessage的请求体中。axios.post ("协议://ip:port/pathname",{参数对象})// 如果是"GET"请求,不会报错,但是它并不会把数据拼接到url中发送。// config/config.default.js文件。// config/config.default.js文件。//这个函数接受字符串:querystring。//将文件考拷贝到新文件中中。//在项目文件夹中的新地址。...
Visual C++移除无标题窗口字样的技巧
资源摘要信息:"VC去掉'无标题'字样的方法.zip" 在使用Visual C++(简称VC++)进行Windows应用程序开发时,有时会发现新建的窗口默认标题栏显示为“无标题”,这通常是因为窗口的标题没有被正确设置。本压缩包提供的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值