CSRF简单介绍与解决方法

最新推荐文章于 2024-04-14 22:43:55 发布
最新推荐文章于 2024-04-14 22:43:55 发布
阅读量1.4k 收藏
点赞数
分类专栏: java 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41024101/article/details/113092503
版权

CSRF (Cross-site request forgery) 跨站请求伪造

 

知识点:  目前绝大多数网站采用的还是 session 会话任务的方式。session 机制简单的来说就是服务端使用一个键值对记录登录信息,同时在 cookie 中将 session id(即刚才说的键)存储到 cookie 中。另外我们又知道浏览器中 HTTP(s) 请求是会自动帮我们把 cookie 带上传给服务端的。这样在每次请求的时候通过 cookie 获取 session id,然后通过它在服务端获取登录信息即可完成用户权限的校验。本来这也是个不错的功能。但是由于 cookie 实在是太开放了,如果一个用户在 A 网站登录了,如果用户在 B 网站访问的时候发送了一个 A 网站的请求,那么这个请求其实是带有这个用户在 A 网站的登录信息的。如果这时候 B 站的 A 网站请求是用户不知道的,那就是非常严重的危害了。以上的过程就是跨站请求攻击,即 Cross-Site Request Forgery,即 CSRF。  (以上摘自https://zhuanlan.zhihu.com/p/44877542)

 

定义:指用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

 

可能造成的后果:账号被盗取、账号信息被更改、获取用户个人信息等等。(这里其实有很多,不妨换位思考一下:假如是一个婚恋网站,被盗取的应该是个人信息。假如是汇款网站,被盗取的就是银行账号、金钱。所以不能忽视其造成的后果)

 

举一个简单例子:用户在可以进行转账的网站登录账号后,收到了一封邮件,然而用户出于好奇心或者没有防备心点开了邮件提供的链接 (这个链接往往可以隐藏,做成一个提供优惠券或者可以引起用户感兴趣的页面,但是真正的目的是跳转到向另一个账号转账成功的页面)。这时候如果该网站对提交的数据没有一个安全的验证,疏于防范让其成功提交。那么就可能造成这个用户账号财产丢失、账号信息被更改等等严重后果。

 

 

解决方法:

一. 添加token来进行校验:

    1.在进入确认页面往往session中token添加一个6~8的随机数。

    2.然后在确认界面添加一个token的隐藏输入框,把token的值传递到里面。

    3.最后在提交的代码逻辑中新增一个判断去对比前端的token和session中的token值即可。

 

 

二.检查 Referer 字段

 HTTP 头中有一个 Referer 字段,这个字段用来判断请求来源于哪个地址。通过在网站中校验请求的该字段,我们能知道请求是否是从本站发出的。

 

 

 

后续会补上模拟跨站请求伪造做法和解决代码...

 

 

 

 

 

摸鱼飞弹
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS安全问题之XSRF(CSRF)
qq_25503949的博客
07-21 828
JS安全问题之XSRF(CSRF) 一.什么是CSRF: img标签可以直接跨域传递用户信息 二.如何预防: 为啥使用post接口:因为,使用post接口,进行跨域请求很困难,简单地用img标签肯定实现不了,因为需要后端的配合。 三.面试题 XSS和CSRF的区别: xss:跨站点攻击。xss攻击的主要目的是想办法获取目标攻击网站的cookie,因为有了cookie相当于有了session,有了这些信息就可以在任意能接进互联网的PC登陆该网站,并以其他人的身份登陆做破坏。预防措施防止下发界面显示htm
丢失的最小正整数leetcode-Code-Grab-from-Leetcode:leetcodeac解决方案和所有主题的简单爬虫。有关更多信
06-30
丢失的最小正值leetcode ac 解决方案的简单爬虫 如果要使用此代码,则应修改以下代码。 填写您自己的“用户名”和“密码”。 def login (): url = "https://leetcode.com/accounts/login/" res = s . get ( url = url , headers = headers_base ) #get csrftoken from cookie print res . cookies [ 'csrftoken' ] login_data = {} login_data [ 'csrfmiddlewaretoken' ] = res . cookies [ 'csrftoken' ] login_data [ 'login' ] = "username" login_data [ 'password' ] = "password" login_data [ 'remember' ] = 'on' res = s . post ( url , headers = headers_base , data = l
Django中针对基于类的视图添加csrf_exempt实例代码
12-25
在Django中对于基于函数的视图我们可以 @csrf_exempt 注解来标识一个视图可以被跨域访问。那么对于基于类的视图,我们应该怎么办呢? 简单来说可以有两种访问来解决 方法一 在类的 dispatch 方法上使用 @csrf_exempt from django.views.decorators.csrf import csrf_exempt class MyView(View): def get(self, request): return HttpResponse("hi") def post(self, request): return HttpResp
CSRF是什么
最新发布
套路猿的博客
04-14 3735
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取
基于CORS实现WebApi Ajax 跨域请求解决方法
12-08
概述 ASP.NET Web API 的好用使用过的都知道,没有复杂的配置文件,一个简单的ApiController加上需要的Action就能工作。但是在使用API的时候总会遇到跨域请求的问题,特别各种APP万花齐放的今天,API的跨域请求是不能避免的。 在默认情况下,为了防止CSRF跨站的伪造攻击(或者是 javascript的同源策略(Same-Origin Policy)),一个网页从另外一个域获取数据时就会收到限制。有一些方法可以突破这个限制,那就是大家熟知的JSONP, 当然这只是众多解决方法中一种,由于JSONP只支持GET的请求,如今的复杂业务中已经不能满足需求。而CORS(Cr
ruoyi-vue前后端分离项目权限控制以及登录流程详细笔记
weixin_43860634的博客
02-16 3702
ruoyi-vue前后端分离项目登录详细流程记录如下: 1、打开登录页面,前端发送获取验证码请求接口 (1)首先请求会被自定义的token过滤器拦截,即JwtAuthenticationTokenFilter extends OncePerRequestFilter ,从前端的请求头里面,获取token,判断token是否存在,首次登录token为空 //token过滤器 验证token有效性 JwtAuthenticationTokenFilter extends OncePerRequestFilter
代码审计.Springboot(ruoyi).CSRF
qq_34012951的博客
03-01 209
新增保存调度,未进行CSRF防御。
SpringSecurity退出登录报错,logout,404,CSRF防护
质量不太好的博客
03-15 1833
SpringSecurity退出登录报错,logout,404,CSRF防护
详解CSRF
lemonlemons的博客
08-09 209
CSRF 攻击的应对之道 这篇文章不错
SpringSecurity中的CSRF解读
-
04-11 522
SpringSecurity中的CSRF解读 从刚开始学习SpringSecurity时,在配置类中一直存在这样一行代码:http.csrfo.disable() 如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 什么是CSRF CSRF (Cross-site request forgery) 跨站请求伪造,也被称为"OneClick Attack” 或者 Sess...
【记录笔记,大佬勿喷】 关于SpringSecurity的登录流程,结合尚硅谷以及若依的项目分析
qq_17593727的博客
03-13 1015
Spring Security基于Spring框架,提供了一套Web应用安全性的完整解决方案。Web应用的安全性包括用户认证(Authentication) 和 用户授权(Authonzation),这两点也是Spring Security重要核心功能。用户认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录。用户授权:验证某个用户是否有权限执行某个操作。
Django中ajax发送post请求 报403错误CSRF验证失败解决方案
12-31
文末已经更新更简单方法,上面的略显麻烦 上网上查了一下,看了几个别人的博客,才知道官网也早有说明解决办法,大致流程就是: 就是新建一个JavaScript文件,然后把网上给的代码粘贴进去,然后在你使用ajax的...
项目一学习框架SpringSecurity07_03_SpringSecurity、退出登录、禁用CSRF、基于角色或权限访问控制、自定义403页面
小良的博客
01-26 902
系列文章目录 文章目录系列文章目录11-实验4-退出登录(注销)-禁用CSRF时的做法12-实验4-退出-启用CSRF时的做法13-实验5-基于角色或权限访问控制==这个要清楚==14-实验5-基于角色或权限访问控制 -ROLE 前缀15-实验5-基于角色或权限访问控制-ROLE的坑加前缀的原因16-实验6-自定义403页面17-实验7-记住我-内存版(下一篇)18-实验8-记住我-数据库版19-实验9-数据库登录-默认实现介绍20-实验9-数据库登录-创建UserDetailsService类21-实验9
视图、csrf、会话(登录退出
qq_55092161的博客
07-17 249
视图、csrf、会话(登录退出
ruoyi-vue第一章 : 学习后台登录模块(SpringSecurity)
热门推荐
过道
01-29 1万+
ruoyi-vue登录模块学习笔记
CSRF跨站请求伪造漏洞
heroking
10-22 1200
1 漏洞简介 跨站请求伪造(Cross-site request forgery,简称CSRF),攻击者利用受害者身份发起了HTTP请求,导致受害者在不知情的情况下进行了业务操作,如修改资料、提交订单、发布留言或评论等。 CSRF攻击攻击原理及过程如下: 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并...
web网站安全 CSRF介绍解决方案
半夏_2021的博客
04-26 1832
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”。 是指恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求,由于同一浏览器进程下 Cookie 可见性,导致用户身份被盗用,完成恶意网站脚本中指定的操作。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事。
教你轻松解决CSRF跨站请求伪造攻击
华为云官方博客
04-21 4717
CSRF(Cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
解决django csfr跨域
05-30
Django中CSRF(Cross Site Request Forgery)跨站请求伪造攻击保护机制需要注意以下几点: 1. 在表单中添加{% csrf_token %}模板标签。 2. 在视图函数中使用@csrf_protect装饰器或者在模板中使用{% csrf_token %}模板标签。 3. 如果需要在Ajax中使用POST请求,需要在JavaScript中设置请求头X-CSRFToken的值为cookie中的csrftoken。 下面是一个简单的示例: 在模板中: ```html <form method="post" action="{% url 'some_view' %}"> {% csrf_token %} <!-- 表单内容 --> <button type="submit">提交</button> </form> ``` 在视图函数中: ```python from django.views.decorators.csrf import csrf_protect @csrf_protect def some_view(request): if request.method == 'POST': # 处理POST请求 pass else: # 处理GET请求 pass ``` 在JavaScript中: ```javascript function csrfSafeMethod(method) { // 需要排除的HTTP方法 return /^(GET|HEAD|OPTIONS|TRACE)$/.test(method); } $.ajaxSetup({ beforeSend: function(xhr, settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", Cookies.get('csrftoken')); } } }); ``` 其中,Cookies.get('csrftoken')是获取cookie中的csrftoken值的方法,需要使用第三方库js-cookie。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值