token 为什么可以防止CSRF 攻击

最新推荐文章于 2024-05-15 09:15:00 发布
最新推荐文章于 2024-05-15 09:15:00 发布
阅读量2.3k 收藏 4
点赞数 2
文章标签: 服务器 token cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40929531/article/details/121704368
版权

「每日一题」CSRF 是什么? - 知乎

token 是被开发者发送给后端的,攻击者如果无法获取到token 是无法通过后端服务器的校验的

但是cookie 不同,只要在同一个浏览器,浏览器就会自动将cookie 放入请求头中,如果用cookie 做登录验证,在同一个浏览器并且一登陆的情况下后端服务器将自动识别cookie 对请求进行放行例如:

小明登录了csdn, 此时小明突然想到了一件事情,登录了另一个网站,而这个网站被不知名的人埋入了一些请求,这些请求是当其他人进入该网站,则请求csdn 友好的帮助访问者发布一篇文章,

假如csdn 使用的是cookie做登录判断,小明访问该网站时触发了该请求,浏览器会自动将cookie 放入请求头中传给后端,后端服务器判断cookie 是已登录则放行了该网站的操作,小明在不知情的情况下被发布的一篇文章,这里只是一个例子,但是如果这里的请求变为自动将小明的钱包余额转账给那位不知名的人,就比较危险了

而如果使用token,token 并不会自动被浏览器放入请求头,当其他攻击者像服务器发送请求时,是不会携带token 的,后端服务器没有获取到token 则不会对请求进行放行,保证了用户数据的安全性

SXJR
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
为什么token能够防止CSRF(修正版)
qq_45888932的博客
04-06 9552
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
为什么token能防范CSRF攻击cookie是同源的
qq_36582776的博客
03-19 1065
CSRF是用户登录安全A网站后,点击危险B网站,危险B利用A中的cookie(不是获取,只是利用登录的状态)替代用户进行危险操作。 token验证是需要将token放到请求头或者请求体里,发送给服务器进行验证。 而token虽然是存储于cookie中的,但是危险B无法获取和解析cookie也就拿不到token,就无法冒用用户身份。 cookie是同源的,而打开简书的两个页面是同源的,所以这两个页面的源相同、cookie同。 查看cookiecookie有哪些内容? 以键值对形式存储,包括
前端安全系列之二:如何防止CSRF攻击
最新发布
qkh1234567的博客
05-15 1062
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击
jinyangjie的博客
02-14 6781
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
TOKEN验证防止CSRF攻击的原理
weixin_34362991的博客
11-29 4081
CSRF中文名是跨站请求伪造攻击,黑客可以通过CSRF攻击来伪造我们的身份,从而进行不法的活动。比如说是以我们的身份进行转账,发送邮件等操作。要想做到预防CSRF攻击,首先需要了解CSRF攻击的原理,只有这样才可以真正的掌握预防的手段。CSRF攻击的原理是这样的:(1):当我们登陆某个网站以后,因为HTTP协议是无状态的,所以为了保存我们的登陆状态,服务器中的程序就必须创建一个session文件,...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求...在 Spring Boot 项目中使用 Spring Security 防止 CSRF 攻击可以提供多种优势,提高系统的安全性。
在Django中预防CSRF攻击的操作
09-17
防止CSRF攻击的基本步骤如下: 1. **生成CSRF Token**:Django在每次用户请求时,会生成一个唯一的CSRF Token,并将其存储在客户端的cookie中。这个Token是一个随机且不可预测的字符串,用于验证后续的POST请求。 ...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
**Django CSRF防护详解** CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种...确保在所有可能的POST请求中包含CSRF令牌,并更新你的前端代码以处理CSRF保护,可以有效地防止CSRF攻击,保护用户数据的安全
Flask模拟实现CSRF攻击的方法
09-20
CSRF(Cross Site Request Forgery,跨站请求伪造)是一种网络攻击手段,它利用了用户已经登录并持有有效会话(如 Cookie)的情况,使得攻击者可以在不知情的情况下,通过诱使用户执行非预期的操作来达到攻击目的。...
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5847
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个token值Ant上CSRFtoken)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
token详解及常见防范措施;远程命令、代码执行漏洞原理及案例演示
qq_44696653的博客
05-05 1805
Token是如何防范CSRF的? CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不被伪造呢? 可以每次请求都增加一个随机码。 每次对敏感信息进行修改时后端都会调用一个函数随机生成一个随机码。 在pikachu实验平台进行实际的演示: 在csrf token模块登陆进行数据修改用burpsuite对操作进行抓包处理。 可以看到GET请求为GET /pikachu/vul/csrf/...
token及用tokencsrf
weixin_44720762的博客
06-01 8021
为什么会出现csrf:一方面,用户安全意识不足,访问不知名的url。另一方面,web没有做到准确的合法用户验证。 由此产生了token,也就是令牌。以修改个人信息页面为例。每当用户访问此页面。html脚本会生成一个随机token,相当于给用户发了一个令牌。通过url中的header一并发到后端。当是这和单一的id其实并没有多大的不同,任何人都可以通过抓包伪造。所以就需要签名。通过算法,将用户id ...
token为什么能防止csrf_注意!!CSRF和XSS攻防知识点来了
weixin_39740737的博客
11-29 4659
作者:侯医生链接:https:segmentfault.com/a/1190000006672214导读随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊WEB前端的安全那些事儿。这里不去说那些后端的攻击(SQL注入、DDOS攻击等),我们就聊一聊前端工程师们需要...
Token如何防止CSRF漏洞
Ethan024的博客
03-20 1294
Token如何防止CSRF漏洞 CSRF的主要问题是敏感操作的链接容易被伪造,因此每次请求,都添加一个随机码(需要足够长度,足够随机,不容易被伪造),后台每次对这个随机码进行验证。 实验环境: 皮卡丘靶场—CSRF Token 实验步骤: 输入用户名和密码:lucy/123456 修改信息,将ShangHai修改为ShangHai xxx,并且用burpsuite抓包,可看见响应头设置的Token值。 查看后端源代码,发现input标签里面有个token: 将响应头复制出来进行修改 再重
token为什么能防止csrf_「Burpsuite练兵场」CSRF(二)
weixin_39770821的博客
12-10 677
Burpsuite练兵场系列文章更新啦,今天的内容是延续上期关于CSRF的内容介绍,感兴趣的小伙伴千万别错过了呦!上期回顾「Burpsuite练兵场」CSRF(一)实验一:Token关联到非会话cookie实验提示:应用程序 email change模块存在CSRF漏洞,启用了token防护,但是并未将csrf令牌防护整合到会话管理中。实验要求:构造CSRF利用代码并上传到exploit serv...
top10之CSRF,原理,攻击方式、预防机制
m0_59856804的博客
12-12 805
top10之CSRF,原理,攻击方式、预防机制
如何避免token被截获后的重放攻击Java
咘噜biu的博客
10-29 2963
token 加密,解密工具: package com.cloudstore.spider.store.feign; import lombok.AllArgsConstructor; import lombok.Data; import java.util.Base64; /** * @author visy.wang * @desc Token加密、解密工具 * @date 2020/10/29 15:26 */ public class TokenUtil { /** * 密码和.
CSRF漏洞Token防御介绍
一米八多的瑞兹的博客
11-25 909
1.漏洞修补逻辑分析 CSRF漏洞实质:服务器无法准确判断当前请求是否是合法用户的自定义操作。如果服务器在用户登录之后给予用户一个唯一合法令牌,每一次操作过程中,服务器都会验证令牌是否正确,如果正确那么执行操作。不正确不执行操作。 一般情况下,给予的令牌会写入表单中隐藏域的value值中,随着表单内容进行提交。 2.简单代码模型分析 3.生成Token代码分析 Token作为识别操作是否是当前用户自己操作的唯一凭证,需要设置为复杂难以被破解的内容。 例如: function generateToken()
token为什么能防止csrf
06-13
CSRF攻击的本质是攻击者利用用户的身份信息,冒充用户发送恶意请求,从而实现攻击的目的。而token机制可以防止CSRF攻击的原因在于,它引入了一个额外的验证机制,使得攻击者无法生成有效的请求。 在服务端生成token时,需要使用随机数生成器、加密算法等来生成一个随机值,并将该值设置到cookie或者session中,并在表单或者AJAX请求中加入一个隐藏域,将该值作为token传递到客户端。当用户提交请求时,服务端会对请求中的token进行验证,检查token是否与服务端生成的一致,如果不一致,则认为该请求是非法请求,拒绝执行。 攻击者无法获取到用户的token值,因此无法在请求中正确地传递token值,也就无法通过服务端的验证。因此,token机制可以有效地防止CSRF攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值