为什么XSRF-TOKEN可以用于防止跨站请求伪造(CSRF或XSRF)攻击

最新推荐文章于 2024-07-15 13:13:49 发布
最新推荐文章于 2024-07-15 13:13:49 发布
阅读量228 收藏
点赞数
分类专栏: WebSecurity 文章标签: web安全
原文链接:https://blog.csdn.net/m0_57236802/article/details/132259004
版权

XSRF-TOKEN 用于防止跨站请求伪造(CSRF 或 XSRF)攻击的原理在于,它为每个会话提供了一个唯一的、难以预测的 token。下面是使用 XSRF-TOKEN 来防止 CSRF 攻击的基本工作流程:

  • 生成 Token:当用户登录到系统后,服务器会生成一个与用户会话关联的唯一 token,并将其作为 cookie 发送到客户端。

  • 存储 Token:客户端浏览器将 XSRF-TOKEN cookie 存储起来,并在之后的每个请求中自动附带这个 cookie。

  • 将 Token 加入请求:在发送到服务器的每个非简单请求(例如 POST 请求)中,客户端应用程序还必须以某种方式(如请求头或表单字段)将该 token 包括进去。这通常由前端应用程序自动完成,例如 JavaScript 代码可以从 cookie 中读取 token 并将其添加到请求头中。

  • 服务器验证:对于每个涉及潜在副作用的请求(例如修改、添加或删除数据的请求),服务器都会检查附带的 XSRF-TOKEN 是否与存储在服务端或客户端 cookie 中的 token 匹配。如果不匹配,请求被认为是非法的,并被拒绝执行。

阻止 CSRF 攻击:由于攻击者无法访问到目标用户的 cookie,因此他们无法获得 XSRF-TOKEN 的值。因此,即使攻击者能够诱使用户的浏览器对目标站点发起请求,由于他们不能在请求中包括有效的 token,所以该请求将被服务器拒绝。

通过这种方式,XSRF-TOKEN 可以确保只有拥有有效 token 的客户端才能执行敏感操作,从而保护了应用程序免受 CSRF 攻击的侵害。

珠峰下的沙砾
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【笔记】Python3|爬虫请求 CSRF-Token 时如何获取TokenToken过期、处理 CSRF-Token 需要注意的问题及示例
qq_46106285的博客
03-19 7887
注意CSRF-Token可能也在响应头中,以及requests请求的时候要用Session,不然就会过期。
爬虫响应cookie案例:某区ZF
局外人LZ的博客
12-27 553
声明:该文章为学习使用,严禁用于商业用途和非法用途,违者后果自负,由此产生的一切后果均与作者无关。
Web安全相关(二):跨站请求伪造CSRF/XSRF
weixin_30457465的博客
05-16 195
简介   CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻...
通过Postman进行post请求时传递X-XSRF-TOKEN
热门推荐
如是说的博客
08-28 2万+
前言介绍 这段时间一个项目后端用的是laravel.在写api接口时通过Postman6进行测试.但是在测试post形式的接口时laravel自带了CSRF验证机制.这就很尴尬了... 所以我们的目的在使用Postman通過XSRF的验证,以測試POST的請求。还是以laravel为例子,Laravel会返回到浏览器的GET请求时将XSRF-TOKEN写在Cookie中.因此我们需要从Cook...
xsrftoken--源码笔记
weixin_30681121的博客
08-30 200
// Package xsrftoken provides methods for generating and validating secure XSRF tokens.package xsrftoken // import "golang.org/x/net/xsrftoken"import ("crypto/hmac""crypto/sha1""crypto/sub...
正则表达式获取 xsrf token
weixin_33941350的博客
12-09 507
为什么80%的码农都做不了架构师?>>> ...
Laravel 学习之 XSRF-TOKEN 验证问题
weixin_33910434的博客
07-24 2013
近日在学习laravel,在写登录模块时用ajax-post传递数据,一直报TokenMismatchException错误,后了解需要在html代码中添加如下代码 //<head>标签中添加如下 <meta name="csrf-token" content="{{ csrf_token()}}">代码 在发起a...
[Java爬虫]利用jsoup爬虫实现网站自动签到--举例B站、CSDN、某库自动签到与通过反爬手段解决XSRF-TOKEN验证
qq_41873771的博客
07-30 1542
之前就常常使用jsoup方法写爬虫,也爬过很多国内外有的没的资源,因为可以应对大部分静态页面与大部分接口,可以说十分方便,当然因人而异各有所好的工具和方法 本篇文章教大家使用jsoup方法实现自动签到功能(当然这个方法十分简单,但简单的同时也很便捷)
mod_csrf:防止跨站请求伪造的 Apache 模块。-开源
05-30
跨站请求伪造(Cross-Site Request Forgery,简称 CSRFXSRF)是一种网络攻击方式,它利用了用户浏览器已经存储的登录凭证,如Cookie,来执行非授权的操作。这种攻击常见于Web应用中,使得攻击者能够在用户不...
csrf:gorillacsrf为Go Web应用程序和服务提供跨站请求伪造CSRF)预防中间件:locked:
02-06
这包括: csrf.Protect中间件/处理程序在连接到路由器或子路由器的路由上提供CSRF保护。 一个csrf.Token函数,该函数提供传递到您的响应中的令牌,无论该令牌是HTML表单还是JSON响应正文。 ...和一个csrf....
XSRFProbe:主要跨站请求伪造CSRF)审核和利用工具包
05-03
主要跨站请求伪造审核和利用工具包。 关于: XSRFProbe是高级的(CSRF / XSRF)审核和利用工具包。 配备了功能强大的搜寻引擎和许多系统的检查功能,它能够检测大多数CSRF漏洞,其相关的绕过情况,并进一步针对每...
防止伪造跨站请求
03-26
总结来说,防止伪造跨站请求Web开发中的重要环节,通过采用Token验证、Referer检查、POST请求限制等策略,可以有效防止CSRF攻击,确保用户数据和应用程序的安全。而《Essential PHP Security》这样的资源,则是...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRFCSRF 攻击可以盗用用户的身份,以用户的名义发送恶意请求,造成的问题包括:个人...
XSRF 跨站请求伪造
weixin_41565755的博客
03-10 273
1、jwt token 可以作为预防xsrf 攻击的手段吗? 可以,不将jwt token 放到 cookie 中,而是放到请求 header 中,就可以达到 xsrf token 的效果来预防 xsrf 攻击。 2、
tornado中的xsrf的使用
nbxuwentao的博客
06-16 1044
reference: https://www.cnblogs.com/paulwhw/articles/12021903.html tornado中使用xsrf 做做笔记
Jmeter学习和一个关于jmeter获取X-XSRF-TOKEN时的坑
weixin_56039103的博客
08-07 1621
所以整理之后的脚本进行合理的调整后应该长这样:其中的每个部件:(1)全局HTTP Cookie管理器(2)全局HTTP请求头(3)登录前置事务管理器、边界表达式提取器登录前置事务管理器边界表达式提取器(4)登录事务管理器、登录请求头、json提取器登录事务管理器登录请求头json提取器(5)业务事务管理器、业务请求头业务事务管理器业务请求头(6)结果树。
Web开发中的 XSS、CSRF/XSRF、CORS
weixin_45678031的博客
06-09 580
XSS 跨站脚本攻击 向正常网站的表单中注入恶意脚本代码,窃取网站私有内容,比如窃取cookies、localstorage、sessionstorage的内容。 防御策略 设置cookies为HttpOnly 使cookie不可被js读取操作。 CSRF/XSRF 跨站请求伪造 诱导用户在恶意网站内点击链接,链接请求正常网站的功能业务,会自动携带正常网站的cookies,在用户不知情的情况下完成一些操作。 防御策略 健强服务端逻辑,严格restful风格,可以防御一些低端的攻击。 利用请求头中的refe
【网络安全】资产记录工具 Hacker Asset Logger 安装使用详细教程
最新发布
等风来
07-15 175
在对某一应用程序的多个页面、对多个相关联的应用程序进行渗透测试的过程中,多个请求包的参数、功能之间可能存在一定的联系。例如,在A页面触发的请求包中,通过UID可获取CustomerID;在B页面触发的请求包中,CustomerID用于Cookie身份鉴定、获取用户敏感信息、获取用户订单号OrderNo;在C页面触发的请求包中,OrderNo用于获取对应用户的敏感信息,如姓名、电话、地址、身份证。
xsrfCookieName : "XSRF-TOKEN"
03-25
A: XSRF-TOKEN 是一种用于防范跨站请求伪造CSRF攻击的机制。当用户访问一个站点时,XSRF-TOKEN 会被设置为一个随机值,并将其存储在浏览器的 cookie 中。在用户进行 POST 或 PUT 请求时,服务器会检查用户提交的 XSRF-TOKEN 是否与浏览器 cookie 中的 XSRF-TOKEN 值匹配。如果两个值匹配,说明该请求是合法的;如果两个值不匹配,则说明该请求伪造了,服务器会拒绝该请求。因此,使用 XSRF-TOKEN 可以有效地保护网站免受 CSRF 攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值