CSRF/XSRF简介

已于 2022-06-07 14:21:21 修改
阅读量1.4k 收藏
点赞数
分类专栏: 学习汇总 文章标签: csrf 安全
于 2022-06-07 13:34:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41171409/article/details/125163494
版权

CSRF/XSRF

CSRF意思是跨站请求伪造。就是通过伪造用户请求对服务器进行攻击,是一种对网站的恶意利用。

简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,甚至财产操作(如转账和购买商品)等)。

早期的网站用户和服务器的通信,是使用cookie进行认证的。攻击者可以通过完全伪造用户的请求,因为请求中所有的用户验证信息都是存在于cookie中的。

所以现在为抵御这一攻击,就是要让认证信息部分是无法被伪造,同时用户的关键信息(如密码等)是不能够被直接查看到的(一般是进行加密)。

现在采用的是JWT的方式(JSON Web Token)进行验证。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有token或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。这种方法要比检查 Referer 要安全一些,token 可以在用户登陆后产生并放于session之中,然后在每次请求时把token 从 session 中拿出,与请求中的 token 进行比对
 

程序猿tu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
前端安全之xss与xsrf
qq_41801117的博客
03-27 4329
提到前端安全,往往离不开xss(跨站脚本攻击)、xsrf(跨站伪造请求),在此记录一下关于前端安全的学习过程。 什么是xss? 跨站脚本攻击(Cross Site Scripting),为了不和css(层叠样式表)混淆,故记为xss。其原理是利用用户对某个指定网站的信任,被恶意用户进行了web攻击(通常这种攻击会利用js实现)。 简单攻击场景 某用户A逛网站时发现某可以分享文章的论坛,非常感兴趣,写下以下文章 用户A:你好,我是用户A,<script>alert(3)</script&gt
CSRF&SSRF简析
ChanCherry的博客
10-19 644
跨站请求伪造,是一种对网站的恶意利用。XSS利用站点内地信任用户,而CSRF通过伪装来自信任用户的请求来利用受信任的网站。与XSS相比,CSRF攻击往往不大流行(因此对其防范的资源也相对较少)和难以防范,所以被认为比XSS更具危险性。一个场景,跨域发出了一个请求,可以无JavaScript参加,请求是身份认证后的。一般分为HTML CSRF,JOSN HiJacking攻击和Flash CSRF。...
浅谈Web前端安全策略xss和csrf,及又该如何预防?
moandaylab
05-28 1568
Web前端安全策略xss和csrf的攻击和防御一、XSS跨站请求攻击1、什么是XSS2、场景模拟3、XSS的攻击类型4、如何防御XSS二、XSRF跨站请求伪造1、什么是csrf2、场景模拟(1)场景一(2)场景二3、CSRF的特点4、CSRF攻击方式5、CSRF常见的攻击类型6、如何防御csrf三、CSRF与 XSS 区别四、结束语 随着前端技术的不断革新,前端早已不再是简简单单的做页面了。现在的前端网站上会涉及到大量用户的数据和隐私,那这些用户数据安全吗?答案并不是肯定的。因此,这个时候前端安全就显得尤为
XSS与CSRF定义
2301_77512689的博客
05-04 643
验证码的验证思路是在服务器端生成验证字符串并保存在Session中,然后在客户端使用图片显示这段字符串,当用户输入验证码之后交给服务器处理,如果验证码与Session中的字符串相匹配,就代表验证码正确,可以发起请求,反之亦然。反射型XSS也被称为非持久性XSS,是现在最容易出现的一种xss漏洞。当用户访问一个带有XSS代码的URL的请求时,服务器端接收数据后处理,然后把带有XSS代码的数据发送到浏览器,浏览器解析这段带有XSS代码的数据后,最终造成XSS漏洞,这个过程就像一次反射,故称为反射型xxs。
web安全之CSRFXSRF)浅析
LQ55
10-11 1962
CSRF(XSRF)是什么? CSRF (cross-site request forgery),中文的名称:跨站请求伪造,也被称为:one click attack/ session riding,缩写为:CSRF/XSRFCSRF(XSRF)可以做什么? CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括,以你的名义发送邮件,发消息,盗取你的账号,甚
CSRF/XSRF概述
weixin_38597669的博客
06-03 4226
本文主要叙述了CSRF产生的原因,危害和预防方法!!
CSRF
qq_43473164的博客
05-05 111
get型csrf 作为客户,模拟登陆 使用小黑给的url 没错,信息已经被更改 csrfpost post型无法使用url的形式来改写用户的地址,所以我们需要搭建一个自己的站点,利用表单对目标站点发送post请求,进而实现更改。 话不多说,附上源码 需要自己设定value的值,然后将window。onload的functiondocument.getElementById(“postsubm...
DneustadtCsrfCookieBundle:Symfony捆绑包,可为客户端应用程序提供跨站点请求伪造(CSRFXSRF)保护
02-04
该捆绑包为客户端应用程序提供(CSRFXSRF)保护,该客户端应用程序通过XHR请求由Symfony提供的端点。 在很大程度上受到影响和启发 要求 Symfony> = 5.x 工作方式 为了存储CSRF令牌客户端,可以通过一个或多个预定...
从零开始学CSRF
02-26
因为CSRF/XSRF我个人喜爱他的程度已经超过XSS了。如果说XSS是一个老虎,那么CSRF就是隐藏在暗处的蛇。相信现在很多人不明白CSRF是怎么运作,他和XSS的不同是在哪里。我这里就逐步为大家解释,并从浅入深的介绍CSRF。...
Bolt:CSRF扫描仪-源码
05-25
螺栓笨拙的CSRF扫描仪重要的Bolt处于测试的Beta阶段,这意味着可能存在错误。 不鼓励使用此工具。 欢迎提出请求和问题。 如果您对此仓库感兴趣,我也建议您将它放在监视中。工作流程爬行Bolt将目标网站爬网到指定的...
csrf:gorillacsrf为Go Web应用程序和服务提供跨站点请求伪造(CSRF)预防中间件:locked:
02-06
这包括: csrf.Protect中间件/处理程序在连接到路由器或子路由器的路由上提供CSRF保护。 一个csrf.Token函数,该函数提供传递到您的响应中的令牌,无论该令牌是HTML表单还是JSON响应正文。 ...和一个csrf....
XSRF:它是什么,如何工作,如何阻止它?
IT与开发人员的地盘
05-22 1765
最近出现了一种晦涩难懂的骇客,它是现在声名狼藉的XSS的分支。 它被称为跨站点请求伪造,简称XSRFXSRF是一种临时身份盗用形式,可能导致您的计算机启动银行交易,发送电子邮件或短信,甚至更改您喜欢的站点上的帐户信息...而您从未意识到! 好消息 在我们开始陷入困境和阴霾之前,您应该知道XSRF尽管可能非常具有破坏性,但实际上很容易防御。 另外,许多现代站点都采用了反XSS和XSRF...
XSRF:它是什么,如何工作,以及如何阻止它?
IT与开发人员的地盘
05-17 1921
最近出现了一种不太明显的骇客,它是现在臭名昭著的分支 XSS 。 它被称为跨站请求伪造,简称XSRFXSRF是一种临时的身份盗用形式,可能导致您的计算机启动银行交易,发送电子邮件或短信,甚至更改您喜欢的站点上的帐户信息...而您从未意识到! 好消息 在我们开始陷入困境和阴霾之前,您应该知道XSRF尽管可能非常具有破坏性,但实际上很容易防御。 另外,许多现代站点都采用了反XSS和...
XSRF
人饭子的博客
11-13 9732
XSRF 跨站请求伪造 先建立一个网站127.0.0.1:8000,使用上一节中的Cookie计数器: class IndexHandler(RequestHandler): def get(self): cookie = self.get_secure_cookie("count") count = int(cookie) + 1 if cook
XSRF 防御
Geordies的博客
01-05 965
# XSRF 防御 # 需求分析 XSRF 又名 CSRF (opens new window),跨站请求伪造,它是前端常见的一种攻击方式,我们先通过一张图来认识它的攻击手段。 CSRF 的防御手段有很多,比如验证请求的 referer,但是 referer 也是可以伪造的,所以杜绝此类攻击的一种方式是服务器端要求每次请求都包含一个 token,这个 token 不在前端生成,而是在我们每次访...
【前端安全】一、CSRF攻击和XSS攻击
weixin_39307273的博客
03-06 1472
1、CSRF CSRF,全称Cross-site request forgery(跨站请求伪造),其原理是利用用户的身份,执行非用户本身意愿的操作(隐式身份验证机制)。 形式:图片URL、超链接、Form提交等,也可以嵌入到第三方论坛、文章中等地方。 危害:攻击者可以盗用用户的身份,以用户的名义进行恶意操作,包括但不限于以用户的名义发送邮件、资金转账、网上等危害用户的操作 原理: ...
XSRF 的攻击与防范
dingbenji5337的博客
12-27 358
官方定义 CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而XSRF则通过伪装来自受信任用户的请求来利用...
CSRF+XSS组合攻击实战
最新发布
记录学习
07-19 1008
xss和csrf组合攻击漏洞复现
CSRF:跨站请求伪造原理与实例
h1008685的博客
07-15 211
2] 当受害者登录a网站并保存了该网站的cookie,在未退出登录的情况下,点击攻击者发送的链接,跳转到攻击者所创建的网站。[1] 现有a和b两个网站,其中a网站为受害者常用网站,网站内存在csrf漏洞。b网站为攻击者网站,存在恶意代码。[3] 进入攻击者网站时,触发网站中的恶意代码,使攻击者,伪装成受害者所在网站的账户,进行操作。用户正常使用与攻击者网页发送的请求,进行cookie的比较,其cookie值相同。
客户端支持防止csrf/xsrf(跨域请求伪造)
09-15
客户端支持防止CSRF/XSRF(跨站请求伪造)的方法主要包括以下几种: 1. 验证码:在敏感操作如支付、修改密码等环节,向用户发送验证码,要求用户输入正确的验证码后才允许进行操作。这样可以有效防止CSRF攻击,因为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序猿tu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值