Session、Token验证的区别以及CSRF攻击

最新推荐文章于 2024-05-19 17:05:33 发布
最新推荐文章于 2024-05-19 17:05:33 发布
阅读量7.9k 收藏 9
点赞数 3
分类专栏: JAVA 文章标签: 后端 JAVA 登陆验证 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ran_Max/article/details/80598514
版权

Session是什么

session意为“会话”。我们都知道HTTP是无状态的协议,但有时我们需要保存状态来进行后面的操作,比如某个电商网站的购物车功能(在不登录的情况下,也就是不使用数据库),如果不使用session,那么每次添加物品到购物篮后都不会保存,结果就是刷新一下购物篮就会变成空的。所以我们需要这个session来保存一定的状态。当用户打开某个网页的时候,就发生了一次会话,也就是产生了一个session,服务器会将session保存在服务器上,session中可能包括了用户信息,在用户离开网页之后,session就会被销毁。
本文这个不是重点,只是简单说下

session和token作为用户登陆手段的区别

session的作用机理

session在每一次会话开始的时候产生,其中存放会话的信息,每一个session都有一个session_id。在账号密码登陆成功后,会在session保存相应的登陆状态,然后服务器会将这个session_id存放在cookie中发送给客户端,这样浏览器下次访问的时候,会带着cookie中的session_id进行访问,服务器再根据这个session_id来找到对应的session,再去session中查找相关信息判断用户是否能正常登陆。

token的作用机理
  1. 客户端传送用户名和密码到服务器请求登陆,服务器在验证通过后签发一个有时效性的token,将token返回给客户端。
  2. 客户端收到token之后将这个token
最低0.47元/天 解锁文章
近光
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于CSRF攻击及mvc中的解决方案 [ValidateAntiForgeryToken]
码过烟云
12-05 2万+
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚
浅谈Session机制及CSRF攻防
hl1293348082的专栏
04-07 713
在讲解CSRF攻击原理及流程之前,我想先花点时间讲讲浏览器信息传递中的Session机制。 Session机制 Session,中文意思是“会话”。对于“会话”我的理解是客户端与服务端间通信的一种方式,也可以简单的理解为一个用户从打开浏览器开始,访问一个web网站,点击某些超链接,访问某些服务端的资源,然后关闭浏览器的这一整个过程就是一次会话。 早期,客户端与服务端之间的每次信息传递都是独立的。这与HTTP协议的无状态性有关。用户发送的一个请求只是为了告诉服务端想访问的资源,然后服务端将用户要的资..
CSRF 攻击实验:Token 不与 Session 绑定绕过验证
最新发布
Flag少侠的博客
05-19 3939
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
CSRF、Cookie、Sessiontoken之间不得不说得那些事儿
besmarterbestronger的博客
10-14 5130
文章目录1. 前言2. 什么是crsf?如何防止3. 什么是cookie?有什么用?机制?4. 什么是session?有什么用?机制?5. 什么是token?有什么用?为什么能防止csrf?6. 总结7. 参考文献 1. 前言 2. 什么是crsf?如何防止 3. 什么是cookie?有什么用?机制? 4. 什么是session?有什么用?机制? 5. 什么是token?有什么用?为什么能防止cs...
Day05-Cookie,Session,Csrf
m0_67425175的博客
04-26 124
Cookie Http短链接是什么?
token与cookie的区别?(token是如何避免CSRF攻击?)
宇华的博客
07-05 1579
token与cookie的区别token是如何避免CSRF攻击的?
Flask模拟实现CSRF攻击的方法
09-20
1. **验证 Token**:服务器在生成页面时,生成一个唯一的 CSRF Token,并将其存储在用户的会话(Session)或 Cookie 中。同时,将这个 Token 放入 HTML 表单的一个隐藏字段。当用户提交表单时,服务器会检查表单中和...
PHP token验证生成原理实例分析
10-16
在PHP开发中,Token验证是一种常见的安全机制,用于防止跨站请求伪造(Cross-Site Request Forgery, CSRF攻击CSRF攻击利用了用户已经登录的状态,通过恶意构造请求,诱使用户执行非预期的操作。Token验证就是...
Python Django框架防御CSRF攻击的方法分析
09-18
3. **验证CSRF令牌**:当用户提交表单时,这两个CSRF令牌(隐藏字段中的和Cookie中的)会被发送到服务器。Django会检查这两个令牌是否一致。如果匹配,请求被认为是合法的;如果不匹配,Django将拒绝该请求,通常...
Session、Cookie、Token的关系。以及Cookie的局限性
11-30
在Web开发中,Session、Cookie和Token是三种常见的身份验证机制,它们各有特点,并在不同的场景下发挥着关键作用。理解它们的关系以及Cookie的局限性对于构建安全的Web应用程序至关重要。 首先,让我们来探讨...
vue+koa2实现sessiontoken登陆状态验证的示例
12-08
Session 登陆Token 登陆区别 1、Session 登陆是在服务器端生成用户相关 session 数据,发给客户端 session_id 存放到 ... CSRF 攻击一般基于 cookie。另外,如果是原生 app 使用这种服务接口,因为没有浏览器 c
anticsrfCSRF预防库的示例用法
02-02
反抗 CSRF预防库的示例用法
CSRF攻击与防御
Java/Android/IOS/前端/云计算
10-22 2706
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
CSRF Failed: CSRF token missing or incorrect
xiaofuge027的博客
12-29 8248
本项目是前后端分离(vue+ Django3) 本地测试 Django settings中设置了跨域, post请求没问题; 申请了域名 使用nginx正式部署项目后,发现post请求报错: CSRF Failed: CSRF token missing or incorrect 问题解析: 这是一个django的跨域访问问题。 django,会对合法的跨域访问做这样的检验,cookies里面存储的’csrftoken’,和post的header里面的字段”X-CSRFToken’作比较,只有两
不好,有敌情,遭到CSRF攻击【网络安全篇】
Y525698136的博客
04-12 194
相信到这里,你对CSRF攻击也有一些了解了,这种攻击方式是黑客利用我们登录的这种状态,在我们登录的网站里操作了一些隐私敏感的功能,但我们通过相对应的防御手段就可以防御住这波敌情,最终取得胜利。
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5817
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个tokenAntCSRFtoken)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
SAP OData 403 Forbidden X-CSRF-TOKEN
Wriprin 的技术博客
10-24 1316
SAP OData 403 Forbidden「X-CSRF-TOKEN」 Validierung des CSRF-Tokens fehlgeschlagen CSRF 令牌验证失败
程序猿必读-防范CSRF跨站请求伪造
weixin_34232617的博客
02-27 236
CSRF(Cross-site request forgery,中文为跨站请求伪造)是一种利用网站可信用户的权限去执行未授权的命令的一种恶意攻击。通过伪装可信用户的请求来利用信任该用户的网站,这种攻击方式虽然不是很流行,但是却难以防范,其危害也不比其他安全漏洞小。 本文将简要介绍CSRF产生的原因以及利用方式,然后对如何避免这种攻击方式...
django中csrf_token原理
janthinasnail的博客
04-14 1780
为防止CSRF攻击,我们需要在html页面加入{% csrf_token %}这样的代码。 但是,当我们打开多个页面的时候,你会发现,每个页面的这个csrfmiddlewaretoken还不一样,如下代码所示: //页面1的部分代码 <input type="hidden" name="csrfmiddlewaretoken" value="aPhlhBx4ellSgZbxDiBYwLqGd8pC3Pt0bkSD7wedsiKAuDIDwIYPh1XdklDmmGcI"> //页面2的部
token为什么能防止csrf
06-13
token机制可以防止CSRF攻击的原因在于,它引入了一个额外的验证机制,使得攻击者无法生成有效的请求。 在服务端生成token时,需要使用随机数生成器、加密算法等来生成一个随机值,并将该值设置到cookie或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值