纯白话理解CSRF和JWT为什么可以防止CSRF

最新推荐文章于 2024-02-26 11:04:53 发布
最新推荐文章于 2024-02-26 11:04:53 发布
阅读量1.2k 收藏 4
点赞数 3
文章标签: csrf 前端 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40558345/article/details/130629334
版权

什么是CSRF?

  • 专业解释:跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者
    session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

  • 通俗易懂的例子: 就是我在一个安全的官方网站点了别人的一个恶意链接,由于我在安全网站的登录还没过期,或者是还没登出,我点这个恶意链接的时候是会携带浏览器中的cookie一起发给恶意链接的后端服务器的,恶意链接的后端就根据我发过去的cookie,拿到存在cookie中的sessin_Id,然后他这个恶意的后端伪造一个url请求,url里面带了一个刚刚拿到的session_id和一些业务参数,去正规网站里面用我的身份去进行一些操作,比如转账等,这就是一次跨域攻击。

JWT为什么可以防止CSRF呢?

  • 因为JWT是由正规安全官网的后端生成的,我登录正规网站,正规网站的后端有一个用于生成JWT签名的密钥,先生成一个head,里面放type=jwt,alg(加密算法)=HS256,再将要传递的数据放到payload里面,第三步使用head中定义的加密算法和后端已经设置好的加密密钥,将head+payload这两部分加密生成一个signature签名,前面三步得到的数据加起来生成一个JWT令牌。也就是说,JWT令牌是由正规网站的后端生成的,用户在第一次登陆这个网站并登陆成功以后,后端就会返回一个JWT给用户,这个JWT存在用户浏览器的localStorage本地缓存里面,下次这个用户发送请求给正规网站的后台时,就会把这个JWT发给正规网站的后台,根本就用不到cookie,但,还是回到上面那个例子,我在正规网站上点了一个恶意链接,并且传递了cookie给恶意链接的后台,此时恶意链接的后台伪造了一个请求发给了正规网站的后台,由于恶意链接的后台本地存储里面没有我与正规网站约定的那个JWT令牌,因此,恶意链接后台生成的发送到正规网站后台的请求就不会带上JWT,就会被正规网站的后台判断为是非法请求,然后抛弃。

知识补充

  • JWT的组成:
    Copy自JavaGuide
  • JWT身份验证的步骤:
    在这里插入图片描述
污喵王z
关注
【网络】Cookie、Session与Token、JWTCSRF攻击
Voiceu的博客
06-10 704
由于HTTP是一种无状态的协议,所以当我打开淘宝,登录后,点击跳转结账(另一个页面),服务器端就不知道现在发请求的是不是我了,就得让我再次登录来确认身份。所以每一次请求的发生都是全新的,那么就需要一个来记录身份并且验证的东西,相对于通行证一样。这就是Cookie和Session的作用, 流程 客户端首次发出请求,服务器端收到后开辟一块 Session 空间(创建了Session对象),同时生成一个 sessionId ,并通过响应头的 **Set-Cookie:JSESSIONID=XXXXXXX **命
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击?
jinyangjie的博客
02-14 7110
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
jwt-csrf:使用jsonwebtoken(JWT)的无状态CSRF保护
04-24
jwt-csrf 利用JWT的力量进行CSRF保护。 如果您不想保留会,则提供了许多无状态的csrf保护方法。 默认为csrf保护的 Submit方法,但支持许多不同的策略。 中间件 例子 var express = require ( 'express' ) ; var app = express ( ) ; var jwtCSRF = require ( 'jwt-csrf' ) ; var jwtMiddleware = jwtCSRF . middleware ( options ) ; // This can be used like any other Express middleware app . use ( jwtMiddleware ) ; // Executed on all requests 必须先包含中间件,然后才能使中间件生效。 处理错误 的错误,智威汤
JWT能预防XSS 攻击和 CSRF 攻击
永不停歇的人
07-17 3431
web服务中,用户输入用户名密码登入之后,后续访问网站的其他功能就不用再输入用户名和密码了。传统的身份校验机制为cookie-session机制: cookie-session机制 用户浏览器访问web网站,输入用户名密码 服务器校验用户名密码通过之后,生成sessonid并把sessionid和用户信息映射起来保存在服务器 服务器将生成的sessionid返回给用户浏览器,浏览器将sessionid存入cookie 此后用户对该网站发起的其他请求都将带上cookie中保存的sessionid 服务端把用
springsecurity为什么说使用JWT就可以disable csrf
只为成功找方法 不为失败找借口
12-07 553
这个方案的实现方法是,在设置 JWT 的同时,设置一个额外的 CSRF Token Cookie,并将这个 CSRF Token 也返回给前端。攻击者可以在他们控制的网站上构造一个请求,当用户访问这个网站时,这个请求会在用户的浏览器中执行,并带有用户对目标网站的凭证(例如,cookies)。例如,你应当使用 HTTPS 来防止 MITM 攻击,使用适当的策略和技术(例如,Content Security Policy,对用户输入的严格检查和清理)来防止 XSS 攻击。
[Web 安全] 如何通过JWT防御CSRF
weixin_34311757的博客
09-07 736
名字都是用来唬人的。 先解释两个名词,CSRFJWTCSRF (Cross Site Request Forgery),它讲的是你在一个浏览器中打开了两个标签页,其中一个页面通过窃取另一个页面的 cookie 来发送伪造的请求,因为 cookie 是随着请求自动发送到服务端的。 JWT (JSON Web Token),通过某种...
JWT放在cookie里,怎么实现的避免CSRF
大英雄不该去雪山打滚
10-18 870
突然想到这个问题,拜读了这篇文章【链接】理解了一点,直接搜索出来的2016,2017年的文章,讲基本都是CSRF Token,都是Token,它和JsonWebToken是不一样的,二者可以说是并列关系,都是避免CSRF的方案。 要理解为什么JWT放在Cookie里却能实现避免CSRF要注意到:CSRF的原理是危险网站B盗取登陆成功的业务网站A的Cookie,用户点击危险网站B的带有请求A网站URL的的按钮,关键在于网站A服务端鉴权是使用的Cookie,token存在Cookie里只是暂存,最终的唯一去向.
spring-security-jwt-csrf:使用Spring Security,Spring Boot和Vue js进行无状态JWT身份验证的演示
01-31
基于令牌(Spring Security, 和CSRF) 客户端构建工具 ,Webpack,npm 服务器构建工具 Gradle Безопасность( Security ) JWT令牌 ДлягенерацииипроверкиJWT以及 。 JJWT -...
如何通过JWT防御CSRF
xiaomin1991222的专栏
07-26 2436
先解释两个名词,CSRFJWTCSRF (Cross Site Request Forgery),它讲的是你在一个浏览器中打开了两个标签页,其中一个页面通过窃取另一个页面的 cookie 来发送伪造的请求,因为 cookie 是随着请求自动发送到服务端的。 JWT (JSON Web Token),通过某种算法将两个 JSON 对象加密成一个字符串,该字符串能代表唯一用户。 CS...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的身份,以用户的名义发送恶意请求,造成的问题包括:个人...
为什么token能够防止CSRF(修正版)
热门推荐
qq_45888932的博客
04-06 1万+
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
一文带你了解CSRF、Cookie、Session和token,JWT之间的关系
大河之犬的博客
09-15 1224
所以存在被盗用的风险。比如在银行里转账,银行页面上的转账请求链接,是银行服务器那边生成的链接,所以那边是可以在请求里面就加上你客户端的token的,但是钓鱼网站无法得到你的token,钓鱼网站仿造的转账请求链接是无法把token写入的,所以就无法生效。意思是,客户端打开了钓鱼网站,却在不知情的情况下,发送了一个请求给淘宝,这个请求有可能是转账,付款等等,因为是客户端发出的请求,所以客户端会带上自己的cookie,这样就可以请求成功。基于token的验证是无状态的,这也许是它相对cookie来说最大的优点。
防止CSRF攻击
不忘初心,我正在路上
08-30 2273
CSRF Token介绍与应对策略 + CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机...
前端安全系列之二:如何防止CSRF攻击?
qq_53058639的博客
01-02 1152
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
手绘10张图,把CSRF跨域攻击、JWT跨域认证说得明明白白的
AI科技大本营
07-31 5605
作者 |写代码的明哥来源|Python编程时光这篇文章本应该是属于 HTTP 里的一部分内容,但是我看内容也挺多的,就单独划分一篇文章来讲下。什么是跨域请求要明白什么叫跨域请求,首...
JWT与XSS/CSRF攻击
方方园园的博客
05-17 558
https://www.jianshu.com/p/344947705c3d
JWT基于Cookie的会保持,并解决CSRF问题的方案
最新发布
小单的博客专栏
02-26 422
避免CSRF问题可以通过自定义Header方式的处理,所以我们可以在使用Cookie记录JWT的基础上,增加一个无实际意义并且唯一的sessionId,每个接口调用都使用自定义Header SID传递该值,在服务端使用过滤器或者拦截器验证SID的值是否和JWT中的值一致。使用JWT进行浏览器接口请求,在使用Cookie进行会保持传递Token时,可能会存在 CSRF 漏洞问题,同时也要避免在产生XSS漏洞时泄漏Token问题,如下图在尽可能避免CSRF和保护Token方面设计了方案。
SpringSecurity CSRF引发的思考Cookie、Session、Token和JWT
wdquan19851029的专栏
12-27 5396
目录 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 2.CSRF 跨站伪造请求 3.Cookie和Session 4.Cookie和Session的区别 5.什么是Token(重点) 仅仅用seesion+cookie存在的问题 【疑问?】token放在客户端哪里?客户端是怎么每次取到token的 6.JSON Web Token(JWT) Token和JWT: 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 【疑问?】浏览器对于 cookie
CORS 可以防止 CSRF 吗?为什么
05-20
CORS(跨源资源共享)并不能完全防止 CSRF(跨站请求伪造)攻击。虽然CORS通过同源策略限制了浏览器对跨域资源的访问,但是CSRF攻击利用的是用户在已经登录过的网站上的权限来伪造请求,因此跨域请求是可以通过用户的浏览器发起的。所以,为了有效地防止 CSRF 攻击,需要在服务端实现一些针对 CSRF 的防御措施,比如在表单中添加 CSRF token,验证请求来源等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值