CSRF下的思考Cookie、Session、Token和JWT

最新推荐文章于 2024-02-26 11:04:53 发布
原创 最新推荐文章于 2024-02-26 11:04:53 发布 · 1.4k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#cookie #session #csrf

之前基于cookie、session有了大致了解,但是看完csrf之后感觉很乱,有了不少问题,于是做一个小总结,关于各种概念大家可以先去查一查其他的博文,该篇博文主要是针对个人一些疑问做记录

CSRF 跨站伪造请求

攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。

一般流程如下:

在这里插入图片描述

该攻击特点:

①攻击一般发起在第三方网站,而不是被攻击的网站。被攻击的网站无法防止攻击发生。
②攻击利用受害者在被攻击网站的登录凭证,冒充受害者提交操作;而不是直接窃取数据。
③整个过程攻击者并不能获取到受害者的登录凭证,仅仅是“冒用”。
④跨站请求可以用各种方式:图片URL、超链接、CORS、Form提交等等。部分请求方式可以直接嵌入在第三方论坛、文章中,难以进行追踪。
⑤CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。但是如果本域下有容易被利用的功能,比如可以发图和链接的论坛和评论区,攻击可以直接在本域下进行,而且这种攻击更加危险。

针对其攻击特点也是有一些列防护措施的,之后会讲~

Cookie和Session

HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),

最低0.47元/天 解锁文章
Cookie Session Token JWT 解析
weixin_45898624的博客
06-25 1374
对登录功能的解析
【前端知识】Cookie, Session,TokenJWT的发展及区别(一)
xiaobaizaza_Ry的博客
05-01 2089
最通俗的关于Cookie, SessionTokenJWT的相关笔记理解。在上章笔记中主要介绍一下背景Cookie。包括Cookie的定义,特点,重要属性,优缺点,作用使用场景,以及如何解决禁用问题,以及Cookie在客户端服务端的相关操作。 上章:主要介绍背景Cookie 中章:主要介绍一下Session并总结一下CookieSession。 下章:主要介绍Token的相关定义及理解。 终章:主要介绍JWT并总结JWTToken的区别,以及总结CookieToken的区别发展。
一文带你了解CSRFCookieSessiontokenJWT之间的关系
大河之犬的博客
09-15 1581
所以存在被盗用的风险。比如在银行里转账,银行页面上的转账请求链接,是银行服务器那边生成的链接,所以那边是可以在请求里面就加上你客户端的token的,但是钓鱼网站无法得到你的token,钓鱼网站仿造的转账请求链接是无法把token写入的,所以就无法生效。意思是,客户端打开了钓鱼网站,却在不知情的情况下,发送了一个请求给淘宝,这个请求有可能是转账,付款等等,因为是客户端发出的请求,所以客户端会带上自己的cookie,这样就可以请求成功。基于token的验证是无状态的,这也许是它相对cookie来说最大的优点。
jwt-csrf:使用jsonwebtokenJWT)的无状态CSRF保护
04-24
jwt-csrf 利用JWT的力量进行CSRF保护。 如果您不想保留会话,则提供了许多无状态的csrf保护方法。 默认为csrf保护的 Submit方法,但支持许多不同的策略。 中间件 例子 var express = require ( 'express' ) ; var app = express ( ) ; var jwtCSRF = require ( 'jwt-csrf' ) ; var jwtMiddleware = jwtCSRF . middleware ( options ) ; // This can be used like any other Express middleware app . use ( jwtMiddleware ) ; // Executed on all requests 必须先包含中间件,然后才能使中间件生效。 处理错误 的错误,智威汤
纯白话理解CSRFJWT为什么可以防止CSRF
qq_40558345的博客
05-11 1907
专业解释:跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
跨站请求伪造CSRF引发的思考CookieSessionTokenJWT
wdquan19851029的专栏
12-27 6051
目录 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 2.CSRF 跨站伪造请求 3.CookieSession 4.CookieSession的区别 5.什么是Token(重点) 仅仅用seesion+cookie存在的问题 【疑问?】token放在客户端哪里?客户端是怎么每次取到token的 6.JSON Web TokenJWTTokenJWT: 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 【疑问?】浏览器对于 cookie
关于CSRF csrftoken
06-27 345
CSRF 虽然利用了session验证机制的漏洞,一般使用加密token的方式防御,但是其本身session以及JWT token没有直接联系。 描述 CSRF利用用户正常登录产生的cookie,利用钓鱼网站传给用户发送一张有内容的表单,并携带用户的正常cookies访问网站,达到将伪造的表单通过用户之手传到网站上的目的。为了避免用户提交其他网站生成的表单,网站在用户登录时签发给用户一...
前端知识Cookie, Session,TokenJWT的发展及区别(一) 上章:主要介绍一下背景Cookie
05-26
【前端知识】Cookie, Session, TokenJWT是Web开发中用于管理用户状态身份验证的重要概念。本篇文章主要探讨了Cookie的定义、特点、重要属性、优缺点、使用场景及其面临的问题。 1. 背景 Cookie的诞生源于HTTP...
【网络】CookieSessionTokenJWTCSRF攻击
Voiceu的博客
06-10 812
由于HTTP是一种无状态的协议,所以当我打开淘宝,登录后,点击跳转结账(另一个页面),服务器端就不知道现在发请求的是不是我了,就得让我再次登录来确认身份。所以每一次请求的发生都是全新的,那么就需要一个来记录身份并且验证的东西,相对于通行证一样。这就是CookieSession的作用, 流程 客户端首次发出请求,服务器端收到后开辟一块 Session 空间(创建了Session对象),同时生成一个 sessionId ,并通过响应头的 **Set-Cookie:JSESSIONID=XXXXXXX **命
CSRFCookieSessiontoken之间不得不说得那些事儿
besmarterbestronger的博客
10-14 6015
文章目录1. 前言2. 什么是crsf?如何防止3. 什么是cookie?有什么用?机制?4. 什么是session?有什么用?机制?5. 什么是token?有什么用?为什么能防止csrf?6. 总结7. 参考文献 1. 前言 2. 什么是crsf?如何防止 3. 什么是cookie?有什么用?机制? 4. 什么是session?有什么用?机制? 5. 什么是token?有什么用?为什么能防止cs...
手绘10张图,把CSRF跨域攻击、JWT跨域认证说得明明白白的
AI科技大本营
07-31 5999
作者 |写代码的明哥来源|Python编程时光这篇文章本应该是属于 HTTP 里的一部分内容,但是我看内容也挺多的,就单独划分一篇文章来讲下。什么是跨域请求要明白什么叫跨域请求,首...
Django系列7---cookiesession、json、csrf_token
什么最重要?算法!!
10-07 810
博客核心内容:
SpringBoot-JWT基础知识、CSRFJWT、SpringBoot如何使用JWT、登录拦截器
m0_56161114的博客
05-28 690
SpringBoot-JWT基础知识、CSRFJWT、SpringBoot如何使用JWT、登录拦截器
JWT基于Cookie的会话保持,并解决CSRF问题的方案
小单的博客专栏
02-26 672
避免CSRF问题可以通过自定义Header方式的处理,所以我们可以在使用Cookie记录JWT的基础上,增加一个无实际意义并且唯一的sessionId,每个接口调用都使用自定义Header SID传递该值,在服务端使用过滤器或者拦截器验证SID的值是否JWT中的值一致。使用JWT进行浏览器接口请求,在使用Cookie进行会话保持传递Token时,可能会存在 CSRF 漏洞问题,同时也要避免在产生XSS漏洞时泄漏Token问题,如下图在尽可能避免CSRF保护Token方面设计了方案。
JWT能预防XSS 攻击 CSRF 攻击
永不停歇的人
07-17 3912
web服务中,用户输入用户名密码登入之后,后续访问网站的其他功能就不用再输入用户名密码了。传统的身份校验机制为cookie-session机制: cookie-session机制 用户浏览器访问web网站,输入用户名密码 服务器校验用户名密码通过之后,生成sessonid并把sessionid用户信息映射起来保存在服务器 服务器将生成的sessionid返回给用户浏览器,浏览器将sessionid存入cookie 此后用户对该网站发起的其他请求都将带上cookie中保存的sessionid 服务端把用
SpringSecurity (5) SpringBoot + JWT + CSRF 动态权限的实现
O_o
05-26 2887
本文介绍在 SpringSecurity + SpringBoot Web 架构下, 如何实现动态权限.
[Web 安全] 如何通过JWT防御CSRF
weixin_34311757的博客
09-07 813
名字都是用来唬人的。 先解释两个名词,CSRF JWTCSRF (Cross Site Request Forgery),它讲的是你在一个浏览器中打开了两个标签页,其中一个页面通过窃取另一个页面的 cookie 来发送伪造的请求,因为 cookie 是随着请求自动发送到服务端的。 JWT (JSON Web Token),通过某种...
如何通过JWT防御CSRF
weixin_34203426的博客
12-30 1675
2019独角兽企业重金招聘Python工程师标准>>> ...
csrf理解session原理
热门推荐
Love&Share
04-16 1万+
CSRF xss利用站点内的信任用户,csrf通过伪装成受信任用户请求受信任的网站,即攻击者利用目标用户的身份,以目标用户的名义执行某些非法操作 攻击两个重点: 目标用户已经登陆了网站,能够执行网站的功能 目标用户访问了攻击者构造的 url 借助 burpsuite 生成 poc 将 poc 保存至 html 文件中并发布,诱导目标用户访问给文件 PHP会话(session) PHP 会话(session)实现用户登录的实现原理 session 是以文本形式存储到服务端的,php 自动修改 sessi
CookieSessionTokenJWT分别是什么?
最新发布
07-14
### Cookie Cookie 是由服务器发送给客户端的一小段数据,客户端会将其保存,并在后续请求中携带回服务器。它通常用于记录用户状态、偏好设置等信息。Cookie 可以设置过期时间,根据是否设置过期时间分为会话 Cookie 持久 Cookie。会话 Cookie 在浏览器关闭时自动清除,而持久 Cookie 则会在指定的时间后过期[^1]。 ### Session Session 是服务器端用来跟踪用户状态的一种机制。当用户登录后,服务器会创建一个唯一的 Session ID,并将该 ID 通过 Cookie 或 URL 重写等方式返回给客户端。客户端在后续请求中携带这个 Session ID,服务器通过查找存储的 Session 数据来识别用户状态。Session 的生命周期通常由服务器控制,可以灵活地设置过期时间或手动销毁[^1]。 ### Token Token 是一种无状态的身份验证机制。用户登录后,服务器生成一个 Token 并返回给客户端。客户端在后续请求中携带该 Token,服务器通过解析 Token 来验证用户身份。 Session 不同的是,Token 本身可能包含用户信息(如用户名、权限等),服务器无需查询数据库即可完成验证。Token 的生命周期由签发时设定的有效期决定,且一旦签发,在有效期内无法被撤销[^2]。 ### JWT (JSON Web Token) JWTToken 的一种具体实现,采用 JSON 格式定义声明(claims),并通过签名确保数据的完整性。JWT 由三部分组成:头部(Header)、载荷(Payload)签名(Signature)。其中,Payload 包含了用户信息(如用户 ID、角色等),签名则用于验证 JWT 的真实性。JWT 是无状态的,服务器不需要存储任何 Session 数据,只需使用密钥解密 JWT 即可验证其有效性。这种方式使得 JWT 非常适合分布式系统中的身份验证需求[^4]。 ### 区别适用场景 - **状态管理方式** Cookie 是客户端存储的小型数据,Session 是服务器端的状态管理机制,Token JWT 则是无状态的身份验证机制。Session 需要服务器维护状态,而 Token JWT 不需要。 - **安全性** Cookie 可以通过设置 `HttpOnly` `Secure` 属性提高安全性,防止 XSS 攻击。Session 依赖于 Cookie 存储 Session ID,因此也面临类似的安全风险。Token JWT 由于是无状态的,更容易防范 CSRF 攻击,但需要注意 Token 的保护,避免泄露[^2]。 - **扩展性** Session 在分布式系统中需要额外的机制(如 Redis)来共享状态,增加了复杂度。Token JWT 更容易扩展,尤其是 JWT,因为服务器不需要存储任何状态信息,只需验证签名即可[^3]。 - **生命周期控制** Session 可以通过编程方式随时销毁,而 Token JWT 一旦签发,在有效期内无法被撤销。如果需要提前失效 TokenJWT,必须引入黑名单机制或其他额外逻辑[^3]。 - **性能影响** Session 每次请求都需要查询数据库或缓存获取用户信息,增加了 I/O 开销。Token JWT 尤其是 JWT,由于自包含用户信息,减少了数据库查询次数,提升了性能[^4]。 ### 示例代码 以下是一个简单的 JWT 签发验证的 Python 示例: ```python import jwt from datetime import datetime, timedelta # 密钥 SECRET_KEY = 'your-secret-key' # 签发 JWT def generate_jwt(user_id): payload = { 'user_id': user_id, 'exp': datetime.utcnow() + timedelta(hours=1) # 设置过期时间为1小时后 } token = jwt.encode(payload, SECRET_KEY, algorithm='HS256') return token # 验证 JWT def verify_jwt(token): try: payload = jwt.decode(token, SECRET_KEY, algorithms=['HS256']) return payload['user_id'] except jwt.ExpiredSignatureError: return 'Token 已过期' except jwt.InvalidTokenError: return '无效的 Token' # 使用示例 token = generate_jwt(123) print("Generated JWT:", token) user_id = verify_jwt(token) print("Verified User ID:", user_id) ``` ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值