关于Token 验证与存储 xss csrf 攻击防御措施

最新推荐文章于 2024-07-02 10:33:08 发布
最新推荐文章于 2024-07-02 10:33:08 发布
阅读量3.2k 收藏 2
点赞数
分类专栏: JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36760953/article/details/88130701
版权

关于Token 验证与存储 xss csrf 攻击防御措施

 

1.如果只存入cookie会被xss攻击劫持,并发动csrf攻击,但可以设置cookie的HTTPOnly属性,不被浏览器获取到cookie,但也不能完全保证不被xss劫持。

2.同时存入cookie和session,session中的token放入表单的隐藏域中,传到后台与cookie中的进行判断,但是使用session会被黑客劫持,所以在http的情况下不使用session,但是可以使用https.

3.推荐存入redis中,分布式or微架构优先考虑,存入redis可以手动的控制令牌的失效时间.

注意细节:

1.访问需要的token验证的接口前,发生操作的请求前先获取安全加密token,然后请求接口带上token。

事例:

进入修改页面,增加页面,点击删除按钮时,异步刷新获取最新的token,并存入于cookie。

表单提交将Token的值放入隐藏域中,ajax提交使用XMLHttpRequest请求,尽量使用ajax或form表单提交,不能用get请求方式。

2.每次访问过后使令牌失效,并重写生成令牌,设置token的有效时间,越短越好。

3.GET请求不能使用token验证。

4.csrf 防御只能最大限度的防御,并不能完全防御。

 

冰零()
关注
专栏目录
token为什么能防止csrf_注意!!CSRFXSS攻防知识点来了
weixin_39740737的博客
11-29 4723
作者:侯医生链接:https:segmentfault.com/a/1190000006672214导读随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊WEB前端的安全那些事儿。这里不去说那些后端的攻击(SQL注入、DDOS攻击等),我们就聊一聊前端工程师们需要...
XSSCSRF攻击防御
热门推荐
zl的博客
08-17 1万+
一、概念: XSS攻击全称跨站脚本攻击(Cross Site Scripting); CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF; 二、XSS 什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于...
xss漏洞和csrf漏洞防御
weixin_33991418的博客
11-02 130
xss防御: 1、尽量少将域名的domain设为域名的根下面,减少分站xss漏洞对主站的影响; 2、对输入的数据进行过滤检查: publicstaticStringhtmlSpecialChars(finalStrings){Stringresult=s;result=regexReplace("&","&am...
Sa-Token比spring security好用一百倍
最新发布
WXY888888888的博客
07-02 1878
SA-Token 是一个功能强大且灵活的权限认证框架,适用于各种 Java Web 应用程序。它简化了身份验证和权限管理的复杂性,为开发者提供了一套易于使用且安全可靠的解决方案。通过使用 SA-Token,开发者可以专注于业务逻辑的实现,而无需担心复杂的权限控制问题。Sa-Token 功能一览Sa-Token 目前主要五大功能模块:登录认证、权限认证、单点登录、OAuth2.0、微服务鉴权。登录认证—— 单端登录、多端登录、同端互斥登录、七天内免登录。权限认证—— 权限认证、角色认证、会话二级认证。
CSRF
打代码的小女孩
01-13 655
CSRF概念:跨站点请求伪造(Cross—Site Request Forgery) 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web...
OWASP TOP 10(四)CSRF漏洞(概念、场景复现、GET/POST型、结合XSS防御方法(referer、token、二次验证)、CSRFTester)
Pluto.的博客
12-22 2296
文章目录OWASP TOP 10CSRF漏洞一、概述1. 什么是CSRF?2. CSRFXSS的区别3. CSRF场景复现3.1 场景一3.1 场景二4. CRSF的关键点和目标4.1 关键点4.2 目标5. CSRF类别5.1 GET型5.2 POST型二、案例:CSRFXSS结合添加后台账号三、防御方法1. 无效的防御2. 有效的防御四、CSRF自动化探测 OWASP TOP 10 CSRF漏洞 一、概述 1. 什么是CSRF? 跨站请求伪造(Cross-site request forgery),
XSSCSRF攻击以及预防手段
南栀的博客
03-12 4902
文章目录XSS反射型持久型DOM型XSS如何防御CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户的 Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 XSS 攻击,但它
XSSCSRF两种攻击方式
weixin_43183219的博客
05-11 1584
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击CSRF攻击的原理、特点以及xssCSRF的区别
Yii框架防止sql注入,xss攻击csrf攻击的方法
10-21
再来,Yii框架提供了防止CSRF攻击的内置机制,通过在用户请求中加入一个随机生成的令牌(token),并在服务器端进行验证。令牌通常在表单中生成并提交到服务器,服务器端通过验证令牌的有效性来确保请求是由持有该...
跨站攻击(XSS+CSRF).docx
01-05
总结来说,XSSCSRF是两种常见的Web安全威胁,理解和掌握这两种攻击的原理、实施方式以及防护措施是保障网络安全的重要一环。通过实际操作和理论学习,学生将深化对Web安全的理解,提高应对网络攻击的能力。
渗透测试-XSSCSRF原理及防御
lza20001103的博客
10-07 3565
渗透测试-XSSCSRF原理及防御
day23 - Cookie、本地存储localStorage以及XSS攻击
weixin_45274291的博客
07-17 977
一、Cookie 1.概念: Cookie是浏览器提供的一个存储数据的空间。 Cookie又叫会话跟踪技术,是由Web服务器保存在用户浏览器上的小文本文件,它可以包含相关用户的信息。无论何时用户链接到服务器,Web站点都可以访问Cookie信息 。 比如:自动登录、记住用户名,记住一些和用户相关的信息等。 2.特点: 1.cookie必须是分域名存储的,也就是说在当前域名下设置的cookie只能在当前域名下获取 2. cookie是有时效性的,默认是会话级别,浏览器关闭就失效 3. cookie分路径的,
csrf(跨站请求伪造)的原理与防范
weixin_39944891的博客
07-17 631
转载地址:https://www.cnblogs.com/collin/articles/9637999.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送...
如何防范XSSCSRF
weixin_33824363的博客
12-11 266
距离上一次介绍XSSCSRF已经过去了漫长了两个月,工作较忙,文章姗姗来迟。小小回顾一下究竟什么是XSSCSRF:https://segmentfault.com/a/11... 《用大白话谈谈XSSCSRF》。 那么,我们来谈谈如何防范它。CSRF依赖于XSS,防住XSS基本也就防住了CSRF让我们明确我们的目的,其实就是不让用户...
csrf攻击xss攻击,cookie的理解
weixin_50146421的博客
06-12 244
什么是cookie?cookie:其实cookie是一个很小的文本文件,是浏览器储存在用户的机器上的。Cookie是纯文本,没有可执行代码譬如我们浏览一个网站时,页面会显示上次你浏览的状态,以及你的登录情况,爱好等等,那么为什么浏览器会记住我们呢?这里cookie就起到了大作用,当客户端第一次访问网页时,客户端会发送一个请求访问包给服务器,当服务器收到请求访问包时会给客户端反馈一个带cookie的响应包,这个包中包含客户端的用户名,密码等一些标志性信息。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值