web安全之CSRF跨站请求伪造---node.js(九)

已于 2022-04-30 21:04:24 修改
阅读量885 收藏 3
点赞数 3
分类专栏: JavaScript学习 node学习 文章标签: html5 web安全 node javascript ajax
于 2021-09-08 16:17:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53087870/article/details/120181214
版权
本文详细介绍了CSRF跨站请求伪造的概念,如何通过在Node.js应用中设置随机CSRF令牌并验证其一致性来防止此类漏洞。包括设置cookie、使用X-CSRFToken header以及在路由中实现防护措施。
摘要由CSDN通过智能技术生成

CSRF跨站请求伪造 

        CSRF意为跨站请求伪造。

        指攻击者盗用了你的身份,以你的名义发送恶意请求。

        比如:盗用你的身份购买商品,虚拟货币转账。        

 那么怎么解决这种漏洞呢?

CSRF防护

思路:

1、在请求转账的时候,服务器响应转账页面,在cookie中设置一个csrf_token值(随机48位字符串)

2、客户端在进行post请求的时候,在请求头中带上自定义的属性'X-CSRFToken',值为cookie中的csrf_token值。

3、服务器在接收到post请求的时候,首先验证响应头中的X-CSRFToken值,和cookies中的csrf_token是不是一致,如果不一致,结束响应。

防护过程:

1、安装cookie-parser

2、生成n位随机字符串:

function getRandomString(n){
    var str="";
    while(str.length<n){
      str+=Math.random().toString(36).substr(2);
    }
    return str.substr(str.length-n)
}
getRandomString(48);  // 调用生成csrf_token

get请求转账页面的时候,在cookie中设置一个csrf_token值(随机48位):

if(req.method=="GET"){
    // 渲染转账页面的时候,同时在cookie中设置csrf_token
    //设置cookie和session
    let csrf_token = getRandomString(48);
    res.cookie('csrf_token', csrf_token); 

    res.render('temp_transfer');
}

接下来,在前端页面中,发起post请求的时候带上自定义的属性'X-CSRFToken',值为cookie中的csrf_token值:

$.ajax({
    url:'/transfer',
    type:'post',
    data:JSON.stringify(params),
    contentType:'application/json',
    headers:{'X-CSRFToken':getCookie('csrf_token')},
    success: function (resp) {
         ....
    }
})

....

function getCookie(name) {   //获取cookie的函数
    var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");
    return r ? r[1] : undefined;
}

最后回到服务器端,处理post请求的时候,判断响应头中得到X-CSRFToken值,和cookie中的csrf_token是不是一致,不一致则取消响应。

else if(req.method=="POST"){
    // 判断响应头中的x-csrftoken值,和cookies中的csrf_token进行对比
    console.log(req.headers["x-csrftoken"]);
    console.log(req.cookies["csrf_token"]);

    if((req.headers["x-csrftoken"] === req.cookies["csrf_token"])){
        console.log("csrf验证通过!");
    }else{
        res.send("csrf验证不通过!");
        return
    }

    // 以下可以开始正常处理post请求
}

对每一个POST请求都设置CSRF防护

在app.js文件中可以这么写:

const router = express.Router();

router.all('/', (req, res) => {
    if(req.method=="GET"){
        res.render('temp_login')
    }
    
    ...
});
router.all('/transfer', (req, res) => {
    
   ...
   
    else if(req.method=="POST"){
        
        let {to_account, money} = req.body;
        console.log(to_account, money);
        
        //执行转账功能: ....此处省略
        console.log("假装执行转账操作,将当前登录用户的钱转账到指定账户");
        console.log(`已经完成转账${money}元到账户${to_account}`);
        
        res.json({to_account,money});

    }
});
function csrfProtect(req, res, next){
    let method = req.method
    if(method=="GET"){
        let csrf_token = getRandomString(48);
        res.cookie('csrf_token', csrf_token);
        next() //执行跳转到下一个函数执行,即app.use(beforeReq,router)中的下一个
    }else if(method=="POST"){
        // 判断响应头中的x-csrftoken值,和cookies中的csrf_token进行对比
        console.log(req.headers["x-csrftoken"]);
        console.log(req.cookies["csrf_token"]);
        
        if((req.headers["x-csrftoken"] === req.cookies["csrf_token"])){
            console.log("csrf验证通过!");
            next()
        }else{
            res.send("csrf验证不通过!!");
            return
        }
    }
}

app.use(csrfProtect,router)

        到这里,我们node.js的基础就结束了,下一篇我会写node项目的搭建过程!

henuGM
关注
专栏目录
使用令牌token,来避免跨站请求伪造CSRF)攻击
yiyun88的专栏
11-30 1159
在涉及到关键业务操作的web页面,应为当前web页面生成一次性随机令牌,作为主会话标识的补充。在执行关键业务前,应确保用户提交的一次性随机令牌与服务器端保存的一次性随机令牌匹配,以避免跨站请求伪造CSRF)等攻击。 1、在公共JS中定义一个function 用来生成token ,然后将生成的token赋值给JSP里的隐藏域&lt;input id="tokenV...
js跨站请求功能完善
weixin_34391445的博客
07-01 115
getscript:function (url) { url += '&amp;t=' + (new Date).getTime(); var s, c, d = document, src = (url.indexOf("?") == "-1" ? url + "?" : url); (s = d.createE...
CSRF Token 原理
最新发布
weixin_52268321的博客
07-29 337
CSRF 攻击成功的关键是,恶意网站让浏览器自动发起一个请求,,正常网站拿到 cookie 后会认为这是正常用户,就允许请求
JS 跨域请求
jerome
10-24 1008
两个项目,第一个项目想通过 AJAX 请求第二个项目。
防范CSRF跨站请求伪造-Node.js实例
星之空
06-22 608
Anti CSRF Node Example 文章目录Anti CSRF Node ExampleGet StartedChange DetailsNew Express ProjectImport csurfGenerate CSRF TokenCustom Error HandlingSend Back CSRF TokenReference https://github.com/prufen...
跨站请求伪造解决方案
热门推荐
NumOneDD的博客
06-30 1万+
AppScan 跨站请求伪造 Token 近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。 1.跨站请求伪造 首先,什么是跨站请求伪造? 跨站请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式。 说的白话一点就是,别的站点伪造你的请求,最可怕
Node.js-ProtectbyRisingStack主动保护您的Node.jsWeb服务
08-10
由于Node.js是异步、事件驱动的,其设计使得它在处理高并发请求时表现出色,但同时也可能引入潜在的安全风险,如注入攻击、跨站脚本(XSS)、跨站请求伪造(CSRF)等。RisingStack的Protect工具就是为了帮助开发者解决...
Node.js-Node.jsExpress.js身份验证API样板
08-10
**CSRF跨站请求伪造) Tokens** CSRF攻击是一种恶意攻击手段,攻击者利用用户已登录的身份执行非用户意愿的操作。CSRF Tokens用于防止这类攻击,它通常是一个随机的、一次性使用的字符串,客户端在表单提交时必须...
intermediate-node-course:中间的node.js课程
03-07
2. **XSS和CSRF**:防止跨站脚本攻击和跨站请求伪造,使用中间件如helmet加强安全。 3. **输入验证**:验证用户输入,防止注入攻击。 4. **HTTPS**:使用SSL/TLS证书实现加密通信,保障数据传输安全。 本中级Node....
node-api:我的node.js api的源代码
02-17
10. **安全性**:API 安全性包括验证请求、防止跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。使用 Helmet 库可以增强应用的安全配置,而 JSON Web Tokens (JWT) 可用于身份验证。 综上所述,"node-api" 项目涉及了 ...
Registration-Form1:使用 node.js 和 MongoDB 的注册表单
07-06
- **CSRF 防护**:防止跨站请求伪造,通常通过生成并验证令牌来确保请求来自合法源。 4. **数据安全**: - **密码哈希**:使用bcrypt或argon2等库对用户密码进行哈希处理,存储哈希值而非明文密码,增加安全性。 ...
CSRF(Cross-site request forgery 跨站请求伪造)
myfuturein的专栏
10-08 7026
CSRF(Cross-site request forgery 跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CS
Nodejs实现CSRF防护
Kata的博客
04-25 1424
Nodejs实现CSRF防护 一、CSRF攻击简介 CSRF跨站请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User...
跨站请求伪造
weixin_30387663的博客
01-04 139
1. 什么是跨站请求伪造CSRF)  CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来...
跨站请求伪造CSRF
FEWY的博客
11-26 873
CSRF 介绍 CSRF,是跨站请求伪造(Cross Site Request Forgery)的缩写,是一种劫持受信任用户向服务器发送非预期请求的攻击方式。 通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任,在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作。 CSRF 攻击示例 这里有一个网站,用户可以看...
CSRF跨站请求伪造和XSS跨站脚本攻击(Sesion和Token的漏洞)
cxywangshun的博客
11-09 3579
CSRF跨站请求伪造和XSS跨站脚本攻击(Sesion和Token的漏洞) 一:Session,Token概述 Sesion是保存在用户本地Cookie里面的,服务器端页保存了一份,每次请求会比较一次 Token是服务器返还给浏览器端的,保存在浏览器本地存储里面,服务器端不保存这个,每次请求也不带着,这个需要前端通过JS来获取到浏览器本地的Token。 二:CSRF漏洞概述 **CSRF(Cross Site Request Forgery)**一般被翻译为 跨站请求伪造 。那么什么是 跨站请求伪造 呢?
CSRF跨站请求伪造
Gjqhs的博客
03-02 725
CSRF跨站请求伪造 原理总结 一个CSRF漏洞攻击的实现,其需要由“三个部分”来构成 1、有一个漏洞存在(无需验证、任意修改后台数据、新增请求); 2、伪装数据操作请求的恶意链接或者页面; 3、诱使用户主动访问或登录恶意链接,触发非法操作: 第一部分 漏洞的存在 关键字:跨站请求漏洞(CSR:CrossSiteRequest) 如果需要CSRF攻击能够成功,首先就需要目标站点或系统存在一个可以进行数据修改或者新增操作,且此操作被提交后台后的过程中,其未提供任何身份识别或校验的参数。后台只要收到..
CSRF(Cross-Site Request Forgery) 跨站请求伪造
Eason_LYC安全白帽子的成长博客
05-13 1635
WEB安全CSRF漏洞攻击最为全面的知识点总结,直击核心知识点,将零散的知识汇总梳理。为深入学习CSRF打下良好基础!
跨站请求伪造CSRF (Cross-site request forgery)
太阳晒屁股了的博客
11-14 532
CSRF原理:CSRF跨站请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 一,CSRF攻击流程:其中Web A...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

henuGM

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值