为什么token能防范CSRF攻击、cookie是同源的

最新推荐文章于 2024-05-03 21:05:41 发布
最新推荐文章于 2024-05-03 21:05:41 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: 面试题 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36582776/article/details/123598559
版权

CSRF是用户登录安全A网站后,点击危险B网站,危险B利用A中的cookie(不是获取,只是利用登录的状态)替代用户进行危险操作。

token验证是需要将token放到请求头或者请求体里,发送给服务器进行验证。

而token虽然是存储于cookie中的,但是危险B无法获取和解析cookie也就拿不到token,就无法冒用用户身份。

cookie是同源的,而打开简书的两个页面是同源的,所以这两个页面的源相同、cookie同。

查看cookie:cookie有哪些内容?

以键值对形式存储,包括键、值、domain、path、Expire / Max-age、size、HTTPOnly、secure、sameSite

单点登录:在某站点登录后,另一站点也登陆了。在一个站点登出,另一也登出了。

跨域是两个不同站点登录不能相互影响。

设置domain的值,前面带点和不带点的区别:

        1. 带点:任何subdomain都可以访问,包括父domain

        2. 不带点:只有完全一样的域名才能访问,subdomain不能访问(但在IE下比较特殊,它支持subdomain访问)

 

七彩冰淇淋与藕汤
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在Django中预防CSRF攻击的操作
12-20
CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。 ( 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…) 造成的问题...
为什么token能够防止CSRF(修正版)
qq_45888932的博客
04-06 9006
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
token 为什么可以防止CSRF 攻击
qq_40929531的博客
12-03 2261
token 是被开发者发送给后端的,攻击者如果无法获取到token无法通过后端服务器的校验的 但是cookie 不同,只要在同一个浏览器,浏览器就会自动将cookie 放入请求头中,如果用cookie 做登录验证,例如: 小明登录了csdn, 此时小明突然想到了一件事情,登录了另一个网站,而这个网站被不知名的人埋入了一些请求,这些请求是当其他人进入该网站,则请求csdn 友好的帮助访问者发布一篇文章, 假如csdn 使用的是cookie做登录判断,小明访问该网站时触发了该请求,浏览器会自动将coo
cookies为什么会有csrf风险,为什么token可以避免
qq_44705614的博客
03-16 417
如果使用token,因为token可以不放在cookie里面,在发送请求时经过前端程序处理才可以把token放到请求参数中,所以在直接请求伪造的地址时,浏览器会自动让请求携带cookie,但是没经过前端的操作,请求不会携带token,服务器没有验证token,就会拦截不服务。当浏览器发送请求且浏览器存在 Cookie同源不跨域时,浏览器会自动在请求头携带上 Cookie 数据。所以浏览器对csrf背锅,即利用的是网站对用户网页浏览器的信任。CSRF 利用的是网站对用户网页浏览器的信任。
为什么 token可以防止 csrf?
weixin_38655450的博客
06-18 590
Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中。 ...
token为什么能防止csrf_「Burpsuite练兵场」CSRF(二)
weixin_39770821的博客
12-10 663
Burpsuite练兵场系列文章更新啦,今天的内容是延续上期关于CSRF的内容介绍,感兴趣的小伙伴千万别错过了呦!上期回顾「Burpsuite练兵场」CSRF(一)实验一:Token关联到非会话cookie实验提示:应用程序 email change模块存在CSRF漏洞,启用了token防护,但是并未将csrf令牌防护整合到会话管理中。实验要求:构造CSRF利用代码并上传到exploit serv...
通信安全//为什么 token可以防止 csrf?
weixin_37877794的博客
07-27 2223
参考 Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中。 所以CSRF本质原因是“重要操作的所有参数都是可以被攻击者猜测到的”,Token加密后通过Cookie储存,只有同源页面可以读取,把Token作为重要操作的参数,CSRF无法获取Token放在参数中,也无法仿造出正确的Token,就被防止掉了。
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击
jinyangjie的博客
02-14 6583
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
tokencookie的区别?(token是如何避免CSRF攻击?)
宇华的博客
07-05 1552
tokencookie的区别?token是如何避免CSRF攻击的?
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5639
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个token值Ant上CSRFtoken)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
Flask模拟实现CSRF攻击的方法
12-24
1.在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 2.在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token 3.在用户点击提交的时候,会带上这两个值向后台发起请求
解决控制台中cookie没有携带token的问题
01-20
 最近在做用户登录的功能,需要进行无状态的请求其他微服务,但是我后台的登录...于是我就调试一下看看在设置cookie时候发生了什么, 发现在setDomainName时候ip地址由192.168.6.129变成了127.0.0.1:8087了, 这是由
详解php curl带有csrf-token验证模拟提交方法
10-18
主要介绍了详解php curl带有csrf-token验证模拟提交方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Cookie、Session和Token三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
element-ui的bug记录
nick_zhang的博客
04-29 490
7.el-dialog组件在关闭时,会触发子组件的created/mounted生命周期。原因是当visible改变为false,即关闭dialog的时候,如果用户设置了destroyOnClose=true,则执行key++;key是绑定在较外层的div上的,key值的变化会导致这个div重新渲染。6.select 的 popper-append-to-body ,默认值为true;dialog的append-to-body,默认值为false;3.element表格前端分页。
【Web】CTFSHOW 中期测评刷题记录(1)
uuzeray的博客
05-02 1379
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
50个前端实战项目之04:隐藏的搜索小组件
最新发布
前端开发博客
05-03 882
大家好,我是宝哥。今天讲50个前端实战项目之04:隐藏的搜索小组件。源码下载地址https://github.com/bradtraversy/50projects50days/tree/master/hidden-search前端实战项目系列正在更新:04/5001:可展开卡片02:进度条03:旋转导航动画04:隐藏的搜索小组件项目介绍本项目演示了一个简洁实用的隐藏式搜索小部件。点击搜索按钮后,...
token为什么能防止csrf
06-13
token机制可以防止CSRF攻击的原因在于,它引入了一个额外的验证机制,使得攻击无法生成有效的请求。 在服务端生成token时,需要使用随机数生成器、加密算法等来生成一个随机值,并将该值设置到cookie或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值