CSRF攻击原理及防御措施

最新推荐文章于 2024-03-14 09:57:20 发布
最新推荐文章于 2024-03-14 09:57:20 发布
阅读量1k 收藏 3
点赞数
分类专栏: 安全性 文章标签: CSRF原理 CSRF防御措施
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44169219/article/details/103063006
版权
本文介绍了CSRF攻击的原理,包括用户在受信任网站登录后,攻击者通过恶意代码利用用户的cookie执行恶意请求。防御措施包括验证HTTP Referer字段、添加token验证和自定义HTTP头属性验证。同时,文章指出POST和HTTPS并不能有效防御CSRF,并解释了CSRF与XSS的区别,帮助理解两者的不同作用和影响。
摘要由CSDN通过智能技术生成

CSRF,即跨站请求伪造(Cross-site request forgery)

攻击原理

  • 用户登录受信任网站A,产生cookie
  • 用户访问攻击网站B,网站B返回攻击代码并发出要登录网站A的请求
  • 网站A对请求进行验证并确认是用户的cookie,误以为是用户操作
  • 网站A执行攻击代码,攻击完成。

可以理解为:攻击者盗用用户身份,并以用户的名义发送恶意请求。 在服务器看来这个请求是完全合法的,导致攻击目的达到。

 防御措施

CSRF的关键点是浏览器自动带上了受信任网站的Cookie访问该受信任网站的链接,这是浏览器需要的机制应用是无法阻止的。所以CSRF防范的立足点应该是,面对发过来的数据包如何识别是通过本网站点击链接发过来的数据包,还是其他网站发来的数据访问数据包

一、验证HTTP Referer字段        

在 HTTP 头中有一个字段叫 Referer,它标识了当前请求的来源页面,简单来说,谁发出了请求Referer就指向谁。浏览器访问时会自动带上cookie和Referer,这样服务器就可以通过检测Referer值来决定是否通过验证

因此只需要在最后给所有敏感请求加一个拦截器来检查Referer的值是否来自于何处。但是这种方法也存在缺点:第一点,各浏览器的Referer实现及其安全漏洞是未知的,而Referer的实现依赖于浏览器,不排除攻击者伪造用户的Referer

最低0.47元/天 解锁文章
月不半
关注
专栏目录
CSRF攻击原理防御方法
墨痕诉清风的博客
02-25 4600
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
如何防止CSRF攻击?
ccyzq的博客
03-17 4353
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
jquery 跨域 异步请求 自定义头部 预检请求 spring mvc拦截处理 实现token单点登录
cm_0914的专栏
02-05 1261
被跨域搞死了,各种奇葩问题。 问题描述:跨域登录,生成token并保存到redis中,然后返回给客户端,客户端每次请求需要将token放到请求头中传给服务端,服务端使用过滤器处理跨域拦截,使用拦截器判断token有效性。问题来了,发来的请求总是获取不到头部信息,也就是取不到token值。 解决: 网上说的过滤器需要做的处理都做了,代码如下: if (req instanceof Htt
CSRF攻击原理&防御方法
AndreMao的博客
11-04 1192
CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 例如:Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户CSRF攻击攻击原理及过程如下:
CSRF攻击原理和防范措施
林见鹿鸣
08-31 2585
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 攻击原理 CSRF是如何发生的呢,我们以网银转账为例进行说明。 首选用户通过浏览器访问网银系统 用户在网银登录后.
CSRF攻击原理防御手段
brook_的博客
07-07 375
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮...
CSRF攻击原理防御手段
SevenLee的个人博客
09-02 313
CSRF(Cross Site Request Forgery)即跨站点请求伪造,攻击者伪装成正常用户,对服务器发起请求,让服务器执行某些操作。例如用户正常登录某个网站,然后再未退出的情况下访问了攻击者事先准备好的页面,此时攻击者就有可能获取到保存在Cookie中的登录凭据或登录信息,然后攻击者就能伪装成用户,与服务器开始通信,CSRF防御手段如下:1.让用户与网站进行交互才能完成请求,例如在...
深入解析CSRF攻击原理及防范方法
[深入解析CSRF攻击原理及防范方法](http://images2015.cnblogs.com/blog/836049/201603/836049-20160322214747901-1548153978.jpg) # 1.1 什么是跨站请求伪造攻击? 跨站请求伪造(Cross-Site Request Forgery,...
XSS、CSRF攻击以及预防手段
南栀的博客
03-12 4893
文章目录XSS反射型持久型DOM型XSS如何防御CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 XSS 攻击,但它
CSRF攻击
秋水的博客
09-04 1357
CSRF攻击原理 什么是csrfCSRF(Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与X...
CSRF攻击防御,web安全的第一防线
python小霸王
01-30 836
CSRF攻击防御,web安全的第一防线 目录: 一、CSRF介绍 二、CSRF攻击的危害 三、CSRF攻击原理及过程 四、CSRF漏洞检测 五、CSRF漏洞预防 六、最后聊聊xss 一、CSRF介绍 CSRF(Cross-site request forgery) 跨站请求伪造,也被称为“OneClick Attack”或者Session Riding,通
csrf攻击原理与解决方法
hengliang_的博客
09-10 5603
0x01前言 因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以往我们是从攻击角度分析这种攻击原理和操作。这次我们给出攻击原理同时,给出CSRF在服务器端的防御的解决方案。CSRF是现代WEB程序要面对的共通性问题,在很多流行的WEB框架中,都会将CSRF的问题直接在WEB框架层面解决。 我们先抛出CSRF这个问题,然后介绍基于时间与签名的防护手段,并且给出的这种防御手段的具体代码实现。过程中使用了Lua语言进行实现功能, LUA是一种容易理解的脚本语言,大
CSRF 攻击的防范措施
程序员徐师兄的博客
07-13 3122
CSRF 攻击是一种常见的 Web 攻击,可以通过利用用户已登录的身份,向目标网站发送恶意请求,从而实现攻击目的。为了避免 CSRF 攻击,开发者需要采取一些防范措施,例如随机令牌、Referer 校验和 SameSite Cookie 等。建议采用多种防范措施,以增强 Web 应用程序的安全性。
前端安全之 CSRF 攻击原理和防护方法
weixin_59124055的博客
06-13 6143
CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理和防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全面理解需要系统的学习 Cookie,前端跨域,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击和防护方法是前端进阶要去,我也希望大家
网络安全-跨站请求伪造(CSRF)的原理攻击防御
热门推荐
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
CSRF漏洞原理攻击防御(非常细)
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
03-14 3569
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
Django中CSRF攻击原理及其防御方式
Shaun_X
03-18 920
攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。
CSRF攻击原理防御策略详解
CSRF攻击威胁着网站的安全,通过理解其原理并采取适当的防御措施,可以在一定程度上保护用户和网站免受这种类型的攻击。开发者应遵循最佳实践,包括在服务器端验证、客户端提示以及安全配置等方面进行综合防护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值