如何防范CSRF攻击

最新推荐文章于 2024-05-27 09:45:00 发布
最新推荐文章于 2024-05-27 09:45:00 发布
阅读量120 收藏
点赞数
分类专栏: CSRF 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30745807/article/details/114040188
版权

referer:referer是HTTP请求Header的一部分,当浏览器向web服务器发送请求的时候,请求头信息一般要包含Referer。该Referer会告诉服务器我是从哪个页面链接过来的,服务器基于此可以获得一些信息用于处理。

Referer的作用是什么?
防恶意请求:比如A网站服务器只允许网站内地址访问,那服务器每次都需要判断Referer的值是否是同域名地址,如果不是,就拦截。

在请求头中加token
1 用户登录页面提交账号、密码
2 后台接收请求,校验通过后,返回token
3 前端把token存储在localstorage和vuex,并进行页面跳转
4 前端每次页面跳转,都先校验是否存在token。如果不存在,则跳转到登录页面;存在,则跳转对应页面。
5 每次请求,都给请求头加token。后台接收请求后,判断请求头是否有token,token验证是否通过,验证通过,则返回数据。如果没有token,或者token验证不通过,则返回401
6 前端接收到返回值401后,清除token,并跳转页面到登录页面。

coding-and-coding
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python Django框架防御CSRF攻击的方法分析
09-18
下面我们将深入探讨Django如何防御CSRF攻击,以及如何配置和使用这些防御策略。 首先,我们需要了解Django防御CSRF攻击的基本原理: 1. **生成CSRF令牌**:当Django渲染HTML模板时,它会在每个需要防护的POST表单...
CSRF攻击与防御
02-26
这时,该转帐请求的Referer值就会是转账按钮所在的页面的URL,通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行
CSRF攻击
aabbcc456aa的专栏
12-01 1607
CSRF攻击  目录  1 CSRF攻击简介 1  1.1 什么是CSRF 1  1.2 CSRF可以做什么 1  1.3 CSRF漏洞现状 1  2 CSRF攻击原理 1  2.1 CSRF攻击原理 1  2.2 CSRF攻击实例 2  2.3 CSRF攻击对象 3  3 CSRF的防御策略 3  3.1 验证HTTP REFERER字段 3  3.2 请求中添
【 安全】什么是CSRF攻击?如何避免?开发的时候怎么预防
最新发布
m0_61869253的博客
05-27 250
CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网站的恶意利用,也被称为 one-click attack或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF跨站点请求伪造(Cross—Site Request Forgery) 跟XSS攻击一样,存在巨大的危害性。
CSRF防御方案
hdwlwang的博客
04-24 4257
我们也可以用自定义HTTP头的方法来防御CSRF攻击,因为虽然浏览器会阻止向外站发送自定义的HTTP头,但是允许向本站通过XMLHttpRequest的方式发送自定义HTTP头。比如,prototype.js这个JavaScript库就是使用这种方法,并且增加了 X-Requested-By头到XMLHttpRequest里面。
csrf攻击原理及防范
小小臭臭的博客
06-05 4606
        CSRF 全拼为 Cross Site Request Forgery, 跨站请求伪造.CSRF指的是攻击者盗用了你的身份,以你的名义发送恶意的请求,给你造成个人隐私泄露及财产安全.        CSRF攻击的原理:        ①用户正常登录A银行网站,        ②A网站返回cookie信息给用户,浏览器保存cookie信息        ③在A网站没有退出登录的情况下...
如何防止CSRF攻击
weixin_59920350的博客
12-18 57
方法二:双token:token1,token2,token1可以放入cookie(不推荐第二种方法),token2用AES提前生成,做身份认证,保证发送者不是黑客。CSRF原理:你访问其它网站,该网站拿你其它网站的cookie出来,伪造请求给你的其它网站,获取你在其它网站的信息。2、用cookie的话给cookie做domain的域限制,防止其它域访问cookie的值。1、做Referer的源校验,设置域的白名单,保证是前端域发来的,不是其它网站发来的。
asgi-csrf:ASGI中间件,用于防御CSRF攻击
05-26
ASGI中间件,用于防御CSRF攻击 安装 pip install asgi-csrf 背景 请参阅及其。 该中间件实现了,该中设置了cookie,然后将其与csrftoken隐藏表单字段或x-csrftoken HTTP标头进行比较。 用法 像这样装饰您的ASGI...
如何防止CSRF攻击
风烟
01-30 4549
什么是CSRF CSRF(cross-site request forgery)跨站请求伪造:攻击者诱导受害者进去第三方网站,在第三方网站,向被攻击网站发送垮站请求,利用受害者在被攻击网站已经获取的登陆凭证。绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作。 一个典型的CSRF攻击有着如下的攻击流程: 受害者登陆a.com,并保留了登陆凭证(cookie) 攻击者引诱受害者访问了b.com b.com向a.com发送了一个请求: a.com/act=xxx。浏览器会默认携带a.com的cooki
CSRF攻击防范
zhibin的程序日记
12-06 701
一、什么是CSRF攻击 CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任
WEB安全入门:如何防止 CSRF 攻击
AzulSystems的博客
02-19 1425
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。
预防CSRF攻击
大鸡腿的博客
05-18 155
Cross Site Request Forgery,中文是:跨站点请求伪造。 CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 举个例子 简单版: 假如博客园有个加关注的GET接口,blogUserGuid参数很明显是关注人Id,如下: http://www.cnblogs...
csrf攻击原理及如何防止csrf攻击
weixin_30414245的博客
06-27 257
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,是一种对网站的恶意利用,通过伪装来自受信任用户的请求来利用受信任的网站。 CSRF攻击原理 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用...
防止CSRF攻击三种方法
key_3_feng的博客
02-23 3018
如何防止 CSRF 攻击,具体来讲主要有三种方式:充分利用好 Cookie 的 SameSite 属性、验证请求的来源站点和使用 CSRF Token。这三种方式需要合理搭配使用,这样才可以有效地防止 CSRF 攻击
什么是 CSRF 攻击?如何防范 CSRF 攻击
rraxx的博客
03-25 1684
CSRF攻击 概念 CSRF攻击指的是跨站请求伪造,攻击者诱导用户进入第三方网站,然后该网站向被攻击网站发送跨域请求。如果用户在被攻击的网站中保存了登录状态,那么攻击者就会利用这个登录状态,绕过后台的用户验证,冒充用户向服务器执行一些操作。 本质 利用了Cookie会在同源请求中携带发送给服务器的特点,以此来实现用户的冒充 攻击类型 GET类型 比如说在网站中的一个img标签里构建一个请求,当用户打开这个网站的时候就会自动发起提交 POST类型 比如说构建一个表单,然后隐藏它,当用户进入界面的时候,自动提交
CSRF攻击与防御(写得非常好)
键上艺术家
12-15 2115
1、CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。 你可以这样来理解: 攻击者盗用了你的身份,以你的名义向服务器发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 举个例子:如下所说,其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,...
防御csrf攻击策略有哪些
06-08
CSRF攻击是一种常见的Web应用程序安全漏洞,为了防御这种攻击,可以采取以下策略: ... 2. 使用CSRF Token:Web应用程序可以使用CSRF Token来...综上所述,为了防御CSRF攻击,Web应用程序需要采取多种手段来提高安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值