防止CSRF攻击

最新推荐文章于 2023-07-13 14:47:20 发布
最新推荐文章于 2023-07-13 14:47:20 发布
阅读量377 收藏 1
点赞数 1
分类专栏: 笔记 文章标签: csrf cookie 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44869043/article/details/114302245
版权

什么是CSRF?

  • CSRF : cross-site-request-forgery:跨站请求伪造

  • 攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。

  • Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。

如何防止CSRF攻击?

  • 1.http头部的 referer 字段会标明请求来源哪个网站,比较 referer 的地址和请求地址,是属于同一个域名,还是不同域名(第三方网站),来判断是否 CSRF 攻击。如果二者不是相同域名,就不通过请求申请。

    • 局限性:
      • 完全依赖于浏览器发送正确的referer 字段,但无法保证来访浏览器的具体实现。
      • 无法保证浏览器是否存在安全漏洞,对referer造成影响。
      • 存在攻击者攻击浏览器,篡改 referer 字段。

  • 2.添加校验token。前端发出请求时,加入从后端返回的token字段的值(不能存储在cookie中、攻击者无法伪造的值),如果token不正确,不通过请求。

  • 3.设置 cookie 的 SameSite 属性

    • Strict: 完全严格模式,完全禁止第三方cookie。跨站点时,不会发送cookie。只有当前网站的URL和请求目标地址一致时,才会发送。
      • 太严格,用户体验不好。例如,在已登录GitHub的情况下,从别的网站点击GitHub链接地址跳转到GitHub,因为不会发送GitHub的cookie,跳转到GitHub网站上总是显示未登录状态。
      •   Set-Cookie: CookieKey=CookieValue;SameSite=Strict;
    • Lax: 相对严格模式,大多数情况下不发送 cookie,导航到目标网址的 Get 请求除外。
      • 发送cookie情况:
    请求类型示例正常情况Lax
    链接<a href="..."></a>``<a href="..."></a>发送 Cookie发送 Cookie
    预加载<link rel="prerender" href="..."/>发送 Cookie发送 Cookie
    GET 表单<form method="GET" action="...">发送 Cookie发送 Cookie
    POST 表单<form method="POST" action="...">发送 Cookie不发送
    iframe<iframe src="..."></iframe>发送 Cookie不发送
    AJAX$.get("...")发送 Cookie不发送
    Image<img src="...">发送 Cookie不发送
    		Set-Cookie: CookieKey=CookieValue;SameSite=Lax;
    • None
      • Chrome 计划将 Lax 变为默认设置。网站可选择显示关闭 SameSite 属性,将其设为 None 。不过,前提是必须同时设置 Secure 属性(cookie只能通过 HTTPS 协议发送),否则无效。
      • 下面设置无效
        Set-Cookie: widget_session=abc123;SameSite=None
      • 下面设置有效
        Set-Cookie:widget_session=abc123;SameSite=None;Secure

参考链接

Using the Same-Site Cookie Attribute to Prevent CSRF Attacks
SameSite cookies explained
Tough Cookies, Scott Helme
Cross-Site Request Forgery is dead!, Scott Helme
阮一峰的网络日志:Cookie 的 SameSite 属性
(完)

唯一的wataru
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CSRF攻击和防范
不如养猪!
09-21 1825
xss攻击原理 用户 使用浏览器访问可信的站点A进行业务,此时浏览器会保存站点A相关的cookie 用户 使用浏览器访问一个恶意的站点B,如果站点B中的网页具有指向站点A的链接,攻击就有可能发生。有如下几种情况: a、站点B返回给用户的页面包含站点A的链接,点击这个链接就会跳转到站点A b、站点B返回给用户的页面包含,其中XXX就是指向站点A的链接,这样用户只要访问站点B的页面
Spring security防止CSRF攻击
Lzc的博客
07-22 1890
在一个spring boot项目中,需要防止CSRF攻击,按理说应该集成spring security才对。 但是不想使工程变得太复杂,这时可以只把spring security中的相关filter引入来进行。 在pom中添加相关依赖 <dependencies> <dependency> <groupId>org.spr...
前端安全:如何防止CSRF攻击
01-27
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补
防止CSRF攻击三种方法
key_3_feng的博客
02-23 2983
如何防止 CSRF 攻击,具体来讲主要有三种方式:充分利用好 Cookie 的 SameSite 属性、验证请求的来源站点和使用 CSRF Token。这三种方式需要合理搭配使用,这样才可以有效地防止 CSRF 攻击
WEB安全入门:如何防止 CSRF 攻击
AzulSystems的博客
02-19 1417
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。
CSRF防御方案
hdwlwang的博客
04-24 4190
我们也可以用自定义HTTP头的方法来防御CSRF攻击,因为虽然浏览器会阻止向外站发送自定义的HTTP头,但是允许向本站通过XMLHttpRequest的方式发送自定义HTTP头。比如,prototype.js这个JavaScript库就是使用这种方法,并且增加了 X-Requested-By头到XMLHttpRequest里面。
网络攻击——CSRF攻击
PUIWAH的博客
03-24 1284
CSRF攻击 CSRF全称是跨站请求伪造(cross site request forgery),CSRF伪装受信任用户,向第三方平台发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。 一个典型的CSRF攻击有着如下的流程: 受害者登录 a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了 b.com。 b.com 向 a.com ...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
环形防伪:环形中间件可防止CSRF攻击
01-31
如果请求中没有正确的令牌或者令牌不匹配,服务器将拒绝处理该请求,从而防止CSRF攻击。 环形中间件的工作流程如下: 1. **令牌生成**:当用户登录成功后,服务器生成一个随机且唯一的防伪令牌,并将其存储在会话...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
主要介绍了详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
如何防止CSRF攻击
qq_40663520的博客
04-18 3722
如何防止CSRF攻击 CSRF不需要将恶意代码注入用户的页面,仅仅是利用服务器的漏洞和用户的登录状态来实施攻击。 要让服务器避免遭受到CSRF攻击,通常有一下几种途径: 充分利用好cookies的SameSite属性:黑客会利用用户的登录状态发起CSRF攻击,而Cookie正式浏览器和服务器之间维护登录状态的一个关键数据。要防止CSRF攻击,最后能实现从第三方站点发送请求时禁止Cookie的发送。 在Http响应头中,通过设置set-cookie时,可以带上SameSite选项,如下: (1)Stric
如何防止CSRF漏洞
zyn8823533的博客
02-14 999
CSRF (Cross-site request forgery) 漏洞是一种常见的网络安全漏洞,攻击者利用这种漏洞可以在用户不知情的情况下冒充用户发起恶意请求。使用 CSRF token:在每个表单中添加一个唯一的 CSRF token,确保表单提交的数据是合法的。限制敏感操作:对于涉及敏感操作的请求,需要使用二次确认或者输入密码等方式,确保用户的操作是合法的。使用验证码:对于一些敏感的操作,可以要求用户输入验证码,确保用户的操作是人工操作。及时更新网站补丁:及时更新网站补丁,确保网站的安全性。
CSRF 攻击的防范措施
最新发布
程序员徐师兄的博客
07-13 2663
CSRF 攻击是一种常见的 Web 攻击,可以通过利用用户已登录的身份,向目标网站发送恶意请求,从而实现攻击目的。为了避免 CSRF 攻击,开发者需要采取一些防范措施,例如随机令牌、Referer 校验和 SameSite Cookie 等。建议采用多种防范措施,以增强 Web 应用程序的安全性。
【基本功】 前端安全系列之二:如何防止CSRF攻击
美团技术团队
10-11 3617
总第290篇2018年 第82篇当当当当,我是美团技术团队的程序员鼓励师美美~“基本功”专栏又来新文章了,本篇是我们前端安全系列文章的第二篇,主要聊聊前端开发过程中遇到的...
如何预防 CSRF 攻击
彳亍
04-16 4684
简介CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,是一种对网站的恶意攻击。尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同。XSS 利用的是站点内的信任用户,而 CSRF 则通过伪装成(假冒)站点内的信用用户,执行该用户不知情的操作。与 XSS 攻击相比,CSRF 攻击往往不太流行...
CSRF攻击与防御(写得非常好)
键上艺术家
12-15 2113
1、CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。 你可以这样来理解: 攻击者盗用了你的身份,以你的名义向服务器发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 举个例子:如下所说,其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,...
spring cloud 如何防止CSRF攻击
04-28
Spring Cloud提供了多种方式来防止CSRF攻击: 1. 使用Spring Security防止CSRF攻击,配置`csrf().disable()`来禁用CSRF保护。 2. 添加CSRF Token,Spring Security提供了一种方便的机制来添加CSRF Token到表单中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值