csrf攻击原理及防范

最新推荐文章于 2024-03-09 22:24:58 发布
最新推荐文章于 2024-03-09 22:24:58 发布
阅读量4.5k 收藏 7
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42327755/article/details/80575565
版权

        CSRF 全拼为 Cross Site Request Forgery, 跨站请求伪造.CSRF指的是攻击者盗用了你的身份,以你的名义发送恶意的请求,给你造成个人隐私泄露及财产安全.

        CSRF攻击的原理:

        ①用户正常登录A银行网站,

        ②A网站返回cookie信息给用户,浏览器保存cookie信息

        ③在A网站没有退出登录的情况下(或者说cookie信息没过期), 登录了恶意网站B

        ④恶意网站B,提前准备好转账表单或者其它请求 ,将其隐藏. 把提交到A网站的按钮设置为一个"领取优惠券"的图片链接.用户 点击链接

        ⑤在用户主观未知的情况下,访问A网站,此时浏览器会自动携带cookie信息

        ⑥A网站识别到cookie信息,默认为是用户本人做出的请求,根据请求做出相应的操作.

        ⑦用户收到损失.

        CSRF如何防范?

        在请求参数中加入一个混淆字符串csrf_token.

        简单来说,服务器在接受到请求后, 返回给用户两个csrf_token值, 一个放在cookie信息中,浏览器会保存,下次请求的时候浏览器自动携带.  一个放在前端页面中(例如:表单域或者ajax的请求头中), 当用户再次向服务器发送数据的时候,  服务器会对比cookie中和前端页面中的csrf_token值,如果一样,证明是用户操作,如果不一样,证明是非法操作.

        恶意网站B因为页面是提前写好的,无法获取到csrf_token值(cookie同源策略),所以服务器接受到请求的时候,会显示非法操作,从而保证了用户个人信息的安全.解决了csrf攻击

小小臭臭g
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
9、CSRF原理.pdf
10-15
9、CSRF原理.pdf
网络安全之CSRF漏洞原理和实战,以及CSRF漏洞防护方法
Scalzdp的专栏
11-08 1767
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。
CSRF攻击解析:原理、防御与应对策略
最新发布
你若盛开,清风自来
03-09 1013
本文将带你深入了解CSRF攻击原理,探讨如何防御和应对CSRF攻击,保护你的网站和用户数据安全。CSRF攻击是一种利用用户登录状态进行的攻击手段,通过深入了解CSRF攻击原理、防御和应对策略,我们可以更好地保护网站和用户数据安全,为用户提供一个安全、可信赖的网络环境。
CSRF攻击原理详解
qq_32907491的博客
09-17 258
CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网站的恶意利用,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF跨站点请求伪造(Cross—Site Request Forgery) 跟XSS攻击一样,存在巨大的危害性。
CSRF攻击原理&防御方法
AndreMao的博客
11-04 1101
CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 例如:Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 CSRF攻击攻击原理及过程如下:
CSRF攻击原理
lsd284504557的博客
10-01 1541
什么是CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击...
【Web 安全】CSRF 攻击详解
热门推荐
weixin_44211968的博客
05-11 1万+
文章目录一、CSRF 简介二、CSRF 原理三、CSRF 的危害四、CSRF攻击类型五、CSRF 的防御1. 验证 HTTP Referer 字段2. 在请求地址中添加 token 并验证3. 在 HTTP 头中自定义属性并验证参考链接 一、CSRF 简介 CSRF(Cross Site Request Forgery,跨站域请求伪造),也被称为 “One Click Attack” 或者 Session Riding,通常缩写为 CSRF 或者 XSRF 。 尽管听起来像跨站脚本(XSS),但它与X
PHP开发中csrf攻击的简单演示和防范
10-19
CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】)CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对...
CSRF攻击的应对之道
01-30
CSRF(Cross SiteRequestForgery,跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的...CSRF的基本原理与其危害性,然后就目前常用的几种防御方法进行分析,比较其优劣。最后,本文将以实例展示如
详解WEB攻击CSRF攻击防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
Flask模拟实现CSRF攻击的方法
09-20
主要介绍了Flask模拟实现CSRF攻击的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
CSRF攻击与防御
02-26
这时,该转帐请求的Referer值就会是转账按钮所在的页面的URL,通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行
CSRF攻击原理防护
diubrother的博客
03-09 2090
一、CSRF是什么 CSRF全称为跨站请求伪造(Cross-site request forgery),是一种网络攻击方式,也被称为 one-click attack 或者 session riding。 二、CSRF攻击原理 CSRF攻击利用网站对于用户网页浏览器的信任,挟持用户当前已登陆的Web应用程序,去执行并非用户本意的操作。 三、CSRF攻击实例 角色: 正常浏览网页的用户:User 正...
CSRF漏洞原理攻击与防御(非常细)
Karka_的博客
06-07 776
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
前端安全之 CSRF 攻击原理防护方法
weixin_59124055的博客
06-13 5926
CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全面理解需要系统的学习 Cookie,前端跨域,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击防护方法是前端进阶要去,我也希望大家
什么是 CSRF 攻击原理是什么
stormjun的博客
07-13 807
CSRF 攻击是一种跨站点请求伪造攻击攻击者通过欺骗用户执行恶意请求来攻击 Web 应用程序。攻击者通常使用社交工程学技术,如钓鱼邮件和恶意广告,来欺骗用户点击恶意链接或打开恶意页面。例如,攻击者可以在一个网站上的一个表单中注入恶意代码,当用户访问这个网站时,恶意代码会自动发送请求到另一个网站,从而执行恶意操作,如更改用户密码或转移用户资金。由于用户在访问恶意网站时已经登录了另一个网站,因此攻击者可以利用用户的身份进行攻击
网络安全-跨站请求伪造(CSRF)的原理攻击及防御
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
csrf攻击原理与解决方法
hengliang_的博客
09-10 5420
0x01前言 因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以往我们是从攻击角度分析这种攻击原理和操作。这次我们给出攻击原理同时,给出CSRF在服务器端的防御的解决方案。CSRF是现代WEB程序要面对的共通性问题,在很多流行的WEB框架中,都会将CSRF的问题直接在WEB框架层面解决。 我们先抛出CSRF这个问题,然后介绍基于时间与签名的防护手段,并且给出的这种防御手段的具体代码实现。过程中使用了Lua语言进行实现功能, LUA是一种容易理解的脚本语言,大
论述csrf攻击原理
06-08
CSRF(Cross-site request forgery,跨站请求伪造)攻击是一种常见的Web应用程序安全漏洞,它利用用户在已经登录...为了防范CSRF攻击,Web应用程序需要使用一些技术手段,如在请求中加入随机的令牌、检测Referer头等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值