CSRF如何防范

最新推荐文章于 2024-05-04 08:00:00 发布
最新推荐文章于 2024-05-04 08:00:00 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: 开发知识 文章标签: csrf 前端 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45963949/article/details/127678781
版权

前言

CSRF的全程是Cross Site Request Forgery, 即跨站请求伪造。深入了解CSRF后会发现,这种攻击非常危险,并且很容易就忽视掉。那到底什么是CSRF呢,我们通过一个案例来了解一下

案例

有这么一个简单的后台页面,可以发表、删除以及编辑文章,点击删除的那个按钮,就可以把一篇文章删掉。因为偷懒,想说如果我把这个功能做成 GET,我就可以直接用一个链接完成删除这件事,在前端几乎不用写到任何代码:

<a href='/delete?id=3'>删除</a>

很方便对吧?然后我在后端那边做一下验证,验证 删除的request的cookie 有没有带 session id 上来,也验证这篇文章是不是这个 id 的作者写的,都符合的话才删除文章。

嗯,听起来该做的都做了啊,我都已经做到:「只有作者本人可以删除自己的文章」了,应该很安全了,难道还有哪里漏掉了吗?

没错,的确是「只有作者本人可以删除自己的文章」,但如果他不是自己「主动删除」,而是在不知情的情况下删除呢?你可能会觉得我在讲什么东西,怎么会有这种事情发生,不是作者主动删的还能怎么删?

好,我就来让你看看还能怎么删!

今天假设小黑是一个邪恶的坏蛋,想要让小明在不知情的情况下就把自己的文章删掉,该怎么做呢?
小黑知道小明很喜欢心理测验,于是就做了一个心理测验网站,并且发给小明。但这个心理测验网站跟其他网站不同的点在于,「开始测验」的按钮代码长得像这样:

<a href='https://Livingblog.com/delete?id=3'>开始测试</a>

是不是觉得开始不对劲了?

小明收到网页之后很开心,就点击「开始测验」。点击之后浏览器就会发送一个 GET 请求https://Livingblog.com/delete?id=3,并且因为浏览器的运行机制,一并把 Livingblog.com 的 cookie 都一起带上去。

Server 端收到之后检查了一下 session,发现是小明,而且这篇文章也真的是小明发的,于是就把这篇文章给删除了。

这就是CSRF, 你现在明明在心理测验网站,假设是 https://test.com 好了,但是却在不知情的状况下删除了 https://Livingblog.com 的文章

更有甚者,如果把get请求放在一张看不见的图片链接里:

<img src='https://Livingblog.com/delete?id=3' width='0' height<
最低0.47元/天 解锁文章
Living-v
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全系列之二:如何CSRF攻击?
javagty6778的博客
02-11 220
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
随便贴两个漏洞,如 Apache JServ协议服务
weixin_30493401的博客
07-31 1094
1、Apache JServ协议服务 描述:Apache JServ协议(AJP)是一种二进制协议,可以将来自Web服务器的入站请求代理到 位于Web服务器后面的应用程序服务器。不建议在互联网上公开使用AJP服务。 如果AJP配置错误,可能会允许攻击者访问内部资源。 我的修复建议:{tocamat目录}/conf/server.xml中将下面的配置给注释掉: 2、没有CSR...
web 扫描漏洞:HTML form without CSRF protection 问题解决
最新发布
dazhong2012的专栏
05-04 491
一.扫描工具:acunetix 二.问题描述 该漏洞主要是利用用户登录网站中的session 或 cookie 信息,采用诱导链接,获取用户浏览器中的相关session 或 cookie ,发送恶意请求或重复攻击; 三.解决方法 1.在提交浏览器表单信息,增加 token 或 随机数 参数,并将 参数 写入到 session 信息;后台校验,通过 对比 表单参数和 session 中的参数的一致性,判断表单提交是否是来源于页面的正常请求。 jsp 页面代码如下: <%@ page language
CSRF攻击原理和防范措施
林见鹿鸣
08-31 2501
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 攻击原理 CSRF是如何发生的呢,我们以网银转账为例进行说明。 首选用户通过浏览器访问网银系统 用户在网银登录后.
CSRF】学习关于CSRF攻击和防范
NineWaited的博客
03-13 1606
关于CSRF攻击的相关信息,包括如何怎么发生,发生场景和如何防范
html表单csrf攻击的解决方案
sunchanglan151的博客
06-29 1227
Web应用安全:CSRF防范对策.pptx
06-19
CSRF防范对策 1、什么是CSRF 我们再来重温下CSRF的定义:CSRF英文全称是:Cross Site Request Forgery,中文是:跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对...
Web应用安全:CSRF防范辅助性对策.pptx
06-19
CSRF防范辅助性对策 CSRF防范辅助性对策 1、CSRF主要防范对策 CSRF的主要防范对策有以下几点: 1、验证 HTTP Referer 字段。 2、在请求地址中添加token并验证。 3、在HTTP 头中自定义属性并验证。 4、AngularJS提供...
从Yii2的Request看其CSRF防范策略
01-30
先画一幅流程图理理思路:今天在处理一个这样的需求,在app\...而如果用Web网页方式GET访问(去除verbFilter的POST限制),是正常的通过帖子下面的帖子找到了问题的所在,是CSRF验证的原因;因为Web网页访问的候f
CSRF demo代码
02-04
这个“CSRF demo代码”可能是一个示例,用于演示如何实施防范CSRF攻击。 在CSRF攻击中,攻击者通常会创建一个恶意网站或发送带有恶意链接的电子邮件,诱使用户点击。当用户在已登录特定应用的状态下访问这些链接...
最近WEB安全扫描问题汇总
热门推荐
ivan0609的专栏
06-15 1万+
严重问题: 1、Tomcat版本过低 Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。 2、SQL盲注 对于用户输入的参数进行过滤。 3、jQuery跨站脚本 升级jQuery,更换为最新版的jQuery
如何CSRF攻击
qq_40663520的博客
04-18 3723
如何CSRF攻击 CSRF需要将恶意代码注入用户的页面,仅仅是利用服务器的漏洞和用户的登录状态来实施攻击。 要让服务器避免遭受到CSRF攻击,通常有一下几种途径: 充分利用好cookies的SameSite属性:黑客会利用用户的登录状态发起CSRF攻击,而Cookie正式浏览器和服务器之间维护登录状态的一个关键数据。要CSRF攻击,最后能实现从第三方站点发送请求禁止Cookie的发送。 在Http响应头中,通过设置set-cookie,可以带上SameSite选项,如下: (1)Stric
什么是CSRF攻击,如何防范CSRF攻击?
weixin_47450807的博客
03-02 6894
什么是CSRF攻击,如何防范CSRF攻击?
csrf护机制
凉茶铺的博客
07-17 2022
CSRF(Cross-siterequestforgery),中文名称跨站请求伪造你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括个人隐私泄露以及财产安全。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如。...
html表单没的csrf保护,表单与csrf保护
weixin_30047651的博客
06-19 874
## 表单提交和CSRF在本课程中,我们将介绍将表单数据提交到服务器的基本工作流程。在此过程中,我们将介绍一个新概念:`CSRF`(跨站点请求伪造)。### 新手建议前面几节我们介绍了如何从数据库中获取数据,使用 `Tinker` 添加测试数据。接下来我们在页面中实现添加数据并展示。> 不论做任何复杂的功能,都是从简单开始,慢慢迭代,这里给新手一个建议,不论做什么都先按照 `路由->控...
csrf攻击与防范
weixin_33872566的博客
05-16 354
CSRF(Cross Site Request Forgeries)跨网站请求伪造,也叫XSRF,通过伪装来自受信任用户的请求来攻击利用受信任网站。 与对比 xss:本网站运行了来自其它网站的脚本 csrf:其它网站对本网站产生了影响 一、攻击 利用用户登录态伪造http请求。  危害: 盗取用户资金(网上银行,购物) 冒充用户发帖(广告帖) 损坏网站名誉 ...
CSRF
weixin_40010498的博客
03-21 4900
对于如何防范 CSRF,一般有三种手段。 1、判断请求头中的 Referer 这个字段记录的是请求的来源。比如 http://www.example.com 上调用了百度的接口 http://api.map.baidu.com/service 那么在百度的服务端,就可以通过 Referer 判断这个请求是来自哪里。 在实际应用中,这些跟业务逻辑无关的操作往往会放在拦截器中(或者说过滤器,不同技术使...
csrf
啥都不会,一顿乱怼
05-25 413
csrf:cross site request forgey 跨站请求伪造 根据我的理解来对csrf 御进行阐述(很可能有不对的地方,很抱歉,希望指正) 1.当我们请求一个包含表单提交的页面,我们就可以在 session 中 设置 key 为用户唯一标识, value为相对唯一未加密文本。 2.服务器端 将 sessionID(用户唯一标识), 加密文本(用统一的 secrey_key(密钥...
CSRF 攻击的原理和防范措施
chengqiang20152015的博客
07-19 1534
CSRF攻击示意图 客户端访问服务器没有同服务器做安全验证 一、攻击原理: 此网站A在接收到请求之后已经判断当前用户是登录状态,所以恶意网站就可以根据用户的权限做具体的恶意操作了,造成网站攻击成功。 而攻击网站B在访问网站A的候,浏览器会自动带上网站A的cookie 用户C再访问攻击网站B,网站B上有某个隐藏的链接或者图片标签会自动请求网站A的URL地址,例如表单提交,传指...
CSRF token invalid
09-06
一种是在服务端的配置文件中关闭CSRF防范,这样可以避免在本地测试出现该错误。另一种解决方案是增加适当的插件,比如yhsd-api插件,在使用该插件后,可以直接通过app.Yhsd获取yhsd-api,无需额外的require('yhsd-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值