CSRF介绍和解决方案

已于 2023-05-12 15:01:44 修改
阅读量729 收藏
点赞数 1
文章标签: csrf 安全 前端
于 2023-05-07 11:12:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47075878/article/details/130539323
版权

CSRF介绍

CSRF(跨站请求伪造)
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。

实际场景举例

小明在tao.com网上,登录个人账号,修改本人信息(修改信息本质就是发送一个http://www.tao.com/edit?address=xiamen)。
攻击者知道了修改他人信息的请求是上面这个连接。
攻击者做一个网站(或者一个链接),利用社会工程学或者其他一些手段骗小明点击这个链接或者图片之类的,小明的个人信息就被修改了。

能成功的关键点在于:
	1.tao.com网站本身在修改个人信息没有加校验,导致这个请求很容易被伪造。
	2.小明本身已经登录过了tao.com网站,cookies中已经存储登录后的token,所以当点击链接就会导致,像是小明自己发送请求要修改个人信息。

CSRF是借用户的权限完成攻击

解决方案

网站本身要在敏感操作的时候加校验
尽量使用post请求

  1. Referrer
    HTTP头中的Referer字段记录了该 HTTP 请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,
    而如果黑客要对其实施 CSRF攻击,他一般只能在他自己的网站构造请求。因此,可以通过验证Referer值来防御CSRF 攻击。
    Referrer会被伪造或者篡改
  • 浏览器插件修改Referrer
  • 通过网关或者抓包修改 Referrer。(这是中间人攻击,也不属于 CSRF 攻击范畴。防中间人攻击用 HTTPS。)
  1. 验证码
    敏感操作加上验证码(短信通知之类),后端判断验证码就可以防御CSRF。过多验证操作对用户使用不太友好。
  2. hash
    当要放问修改页面时候,生成hash值,且不保存在cookies当中。当执行修改信息操作要携带hash值才能修改成功。

具体解决方案可以使用SpringSecurity(默认就是开启csrf,我这里关闭了)

public class SecurityConfig extends WebSecurityConfigurerAdapter{
....
@Override
    protected void configure(HttpSecurity httpSecurity) throws Exception
    {
        // 注解标记允许匿名访问的url
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity.authorizeRequests();
        permitAllUrl.getUrls().forEach(url -> registry.antMatchers(url).permitAll());

        httpSecurity
                // CSRF禁用,因为不使用session
                .csrf().disable()
                // 禁用HTTP响应标头
                .headers().cacheControl().disable().and()
                // 认证失败处理类
                .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                // 基于token,所以不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                // 过滤请求
                .authorizeRequests()
                // 对于登录login 注册register 验证码captchaImage 允许匿名访问
                .antMatchers("/login", "/register", "/captchaImage").permitAll()
                // 静态资源,可匿名访问
                .antMatchers(HttpMethod.GET, "/", "/*.html", "/**/*.html", "/**/*.css", "/**/*.js", "/profile/**").permitAll()
                .antMatchers("/swagger-ui.html", "/swagger-resources/**", "/webjars/**", "/*/api-docs", "/druid/**").permitAll()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                .and()
                .headers().frameOptions().disable();
                  // 添加Logout filter
        httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
        // 添加JWT filter
        httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        // 添加CORS filter
        httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
        httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class);
爱敲代码的小楚
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
前端安全CSRF 攻击原理和防护方法
weixin_59124055的博客
06-13 6057
CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理和防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全面理解需要系统的学习 Cookie,前端跨域,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击和防护方法是前端进阶要去,我也希望大家
html表单csrf攻击的解决方案
sunchanglan151的博客
06-29 1237
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
05-21 1901
这时该转帐请求的 Referer 值就会是转账按钮所在的页面的URL,而如果黑客要对银行网站实施 CSRF攻击,他只能在他自己的网站构造请求,当用户User通过黑客的网站发送请求到WebA时,该请求的 Referer 是指向黑客自己的网站。你可以这么来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。比如在PHP中,如果使用的是。
CSRF Token has been associated to this client
猿生的博客
01-21 4468
SpringCloud Gateway整合 Oauth2的时候通过网关访问认证授权服务出现: CSRF Token has been associated to this client
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
VN520的博客
12-28 1064
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来说,是由服务器发出请求,用户。
2022-09-07 请求头referer拦截器防止csrf攻击
Young的博客
09-07 1820
工作中用到的对csrf攻击的简单防范方法
Django CSRF认证的几种解决方案
01-21
什么是CSRF 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。浏览器的同源策略并不能阻止CSRF...
Django中ajax发送post请求 报403错误CSRF验证失败解决方案
12-31
先前用模板的话都是在里面加一个 {% csrf_token %} 就直接搞定了CSRF问题了;很显然,用ajax发送post请求这样就白搭了; 文末已经更新更简单的方法,上面的略显麻烦 上网上查了一下,看了几个别人的博客,才知道...
不同版本浏览器前端标准兼容性对照表以及CORS解决跨域和CSRF安全问题解决方案.docx
10-26
本文主要讨论了浏览器前端标准的兼容性对照表以及如何利用CORS解决跨域和CSRF安全问题。 首先,不同版本浏览器的前端标准兼容性差异显著,因为各浏览器厂商在不同时间点实现了不同的Web标准。例如,CORS(Cross-...
CSRF简单介绍解决方法
qq_41024101的博客
01-24 1457
CSRF (Cross-site request forgery) 跨站请求伪造 知识点: 目前绝大多数网站采用的还是 session 会话任务的方式。session 机制简单的来说就是服务端使用一个键值对记录登录信息,同时在 cookie 中将 session id(即刚才说的键)存储到 cookie 中。 另外我们又知道浏览器中 HTTP(s) 请求是会自动帮我们把 cookie 带上传给服务端的。这样在每次请求的时候通过 cookie 获取 session...
CSRF Security Error解决办法
weixin_34220963的博客
03-25 388
2019独角兽企业重金招聘Python工程师标准>>> ...
跨站请求伪造-CSRF防护方法
03-12
跨站请求伪造-CSRF防护方法跨站请求伪造-CSRF防护方法
网关支持鉴权服务器怎么配置,Zuul网关 + oauth授权+json web token令牌实现网关中认证与鉴权集成步骤详解....
weixin_42102401的博客
07-29 529
Zuul网关 + oauth授权+json web token令牌实现网关中认证与鉴权集成步骤详解.发布时间:2020-07-11 01:00:31来源:51CTO阅读:4263作者:霸都一匹狼前提: shiro与spring security 都可以实现单体服务器的认证,鉴权.微服务,分布式项目中解决方案: SSO(单点登录),分布式session.但是权限服务器流量大,还需要考虑存储同步的问题...
什么是CSRF攻击,以及如何防御
weixin_41359273的博客
04-14 8647
什么是CSRF攻击,以及如何防御1.CSRF攻击的概念2.CSRF攻击简单案例2.1 银行网站项目2.2 危险网站的项目2.3 测试3.默认的CSRF防御策略4前后端分离的CSRF防御策略 1.CSRF攻击的概念 1.CSRF全称为Cross Site Request Forgery,跨域请求伪造。这是一种很常见的Web攻击方式,如下为一个简单的攻击流程。 1)假设用户打开了一个银行网站,并且登录了 2)登录成功后,会返回一个cookie给前端,浏览器将cookie保存下来 3)用户在没有登出银行网站的情况
CSRF漏洞修复建议
lixiaotao_1的博客
11-12 3612
1 关于CSRF 跨站请求伪造,(Cross-site request forgery)。是一种对网站的恶意利用。 CSRF作为一种跨网站的攻击方式,不同于XSS站内攻击。CSRF是通过伪装成受信任的用户请求受信任的网站。 CSRF攻击的原理:攻击者利用目标用户的身份,以目标用户的名义执行某些非法的操作。CSRF能做的事情包括:以目标用户的名义发送邮件、发消息、盗取目标用户的账号,甚至购买商品、虚拟货币转账,会泄露个人隐私并威胁到目标用户的财产安全。 2 CSRF修复建议 ● 验证请求的Refer
CSRF、Cookie、Session和token之间不得不说得那些事儿
besmarterbestronger的博客
10-14 5204
文章目录1. 前言2. 什么是crsf?如何防止3. 什么是cookie?有什么用?机制?4. 什么是session?有什么用?机制?5. 什么是token?有什么用?为什么能防止csrf?6. 总结7. 参考文献 1. 前言 2. 什么是crsf?如何防止 3. 什么是cookie?有什么用?机制? 4. 什么是session?有什么用?机制? 5. 什么是token?有什么用?为什么能防止cs...
Laravel - CSRF token禁用方法
鑫的专栏
11-23 6674
关闭Laravel默认是开启了CSRF功能,需要关闭此功能有两种方法:方法一打开文件:app\Http\Kernel.php把这行注释掉: protected $middleware = [ \Illuminate\Foundation\Http\Middleware\CheckForMaintenanceMode::class, \App\Http\Middleware\EncryptCookie
spring security使用总结
Koikoi12的博客
08-11 3079
三种配置方法 configure(WebSecurity) 通过重载,配置Spring Security的Filter链 configure(HttpSecurity) 通过重载,配置如何通过拦截器保护请求,用来拦截请求,配置白名单和过滤 configure(AuthenticationManagerBuilder) 通过重载,配置user-detail服务,身份认证接口调用 用户存储方式 基于内存 auth.inMemoryAuthentication() .withUser(“admin”).passw
【网络教程】Django中发起POST请求时,因为开启防止csrf,报403错误等错误的几种解决方法!
XiaoqiangClub的博客
05-17 481
@ [toc] 问题描述 Django默认开启防止csrf(跨站点请求伪造)攻击,在post请求时,如果没有上传 csrf字段,会导致校验失败,从而报错! 解决方案 注释中间件 最简单的一种方式就是在中间件直接注释掉csrf的验证 但是这样做缺点也很明显:导致Django项目完全无法防止csrf攻击 使用csrf_exempt装饰器 在 views.py文件中使用@csrf_exempt装饰器 # !/usr/bin python3 # encoding : utf-8 -*- #
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值