CSRF原理

最新推荐文章于 2024-08-30 11:12:09 发布
最新推荐文章于 2024-08-30 11:12:09 发布
阅读量98 收藏
点赞数 1
分类专栏: 杂文 文章标签: csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shaoming314/article/details/125325444
版权

CSRF原理

参考网址:

https://mp.weixin.qq.com/s?__biz=MzI1NDY0MTkzNQ==&mid=2247488656&idx=2&sn=f00c9c9d51caf76caa76a813961ba38a&chksm=e9c346f0deb4cfe67ba94962a156f3c3820a0fc58e6b9e8ad815e7fd2cab3575c4720d6e2ca3&scene=178&cur_album_id=1319828555819286528#rd

说明:

springsecurity设置 CSRF 的配置 , 之前一直不是很明白是什么意思 , 今天看了这篇文章知道了大概的意思以及对应的解决方案

案例

其实这个流程很简单:

  1. 假设用户打开了招商银行网上银行网站,并且登录。
  2. 登录成功后,网上银行会返回 Cookie 给前端,浏览器将 Cookie 保存下来。
  3. 用户在没有登出网上银行的情况下,在浏览器里边打开了一个新的选项卡,然后又去访问了一个危险网站。
  4. 这个危险网站上有一个超链接,超链接的地址指向了招商银行网上银行。
  5. 用户点击了这个超链接,由于这个超链接会自动携带上浏览器中保存的 Cookie,所以用户不知不觉中就访问了网上银行,进而可能给自己造成了损失。

image-20220616235859591

总结

具体解决方案参考网址

总结

具体解决方案参考网址

不会打字314
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
9、CSRF原理.pdf
10-15
CSRF攻击原理 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击类型,它利用用户对网站的信任,通过欺骗用户浏览器,执行非法操作。以下是CSRF攻击的原理和防御方法: CSRF攻击原理 1. 用户...
第一节 CSRF原理介绍-01
09-15
CSRF漏洞原理介绍 在Web应用安全中,CSRF(Cross-site request forgery,跨站请求伪造)是一种常见的攻击方式。它通过伪装成受信任用户请求受信任的网站,执行某些非法操作。以下是CSRF漏洞的详细介绍。 CSRF漏洞...
第22周-第11章节-Python3.5-Django之CSRF原理详解2.avi
02-10
第22周-第11章节-Python3.5-Django之CSRF原理详解2.avi
第22周-第10章节-Python3.5-Django之CSRF原理详解1.avi
02-10
第22周-第10章节-Python3.5-Django之CSRF原理详解1.avi
yanm1e#yanm1e.github.io#2020-07-15-csrf原理简介1
07-25
1.登录受信任网站A,并在本地生成Cookie 2.在不登出A的情况下,访问危险网站B 1.你不能保证你登录了一个网站后,不再打开一个tab页面并访问另外的网站
Web攻击-XSS、CSRF、SQL注入
m0_63882057的博客
08-30 519
对浏览器中常见的web攻击方式:XSS、CSRF、SQL注入进行了总结和梳理。
ssrf做题随记--任务计划的写入、csrf简单知识
banliyaoguai的博客
08-28 379
如何防御:在from表单下添加一个字段:token值,这个东西攻击者是伪造不了的,服务器在你第一次登陆的时候,会生成一个token,然后将这个token返回给你,然后下次你再登陆的时候携带这个token值去登陆,然后服务器会检测token的合法性。linux里面的cron中command执行的shell环境是/bin/sh,ubuntu下的/bin/sh文件是一个软连接文件,然后再ubuntu中这个软连接文件指向了dash,而我们的反弹计划反弹的是bash。centos写入任务计划是很正常的,该咋写咋写。
JavaScript代码片段
weixin_66128399的博客
08-26 2362
使用场景是:后端列表查询接口,某个字段前端不传,后端就不根据那个字段筛选,例如name不传的话,就只根据page和pageSize筛选,但是前端查询参数的时候(vue或者react)中,往往会这样定义。给后端发送数据的时候,要判断某个属性是不是空字符串,然后给后端拼参数,这块逻辑抽离出来就是cleanObject,代码实现如下。leading-true,trailing-true:在延时开始时就调用,延时结束后也会调用。//第一个参数指定位数,第二个字符串指定字符,都是可选参数,如果都不传,默认生成8位。
Window Performance API
Bruce__taotao的博客
08-28 1414
Window Performance API 是一组浏览器提供的接口,用于收集和分析网页性能数据。它允许开发者精确地测量网页加载时间、资源加载时间、用户交互延迟等性能指标,从而优化用户体验。1. 主要接口1.1返回一个高精度时间戳,通常用于计算精确的时间差。例如,你可以用它来测量函数执行时间。使用场景: 精确计算代码段的执行时间。// 执行某个任务console.log(`执行时间:${// 执行某个任务 const end = performance . now();
前端的面试题
本人小可爱
08-30 115
【代码】前端的面试题。
vue3+el-tale封装(编辑、删除、查看详情按钮一起封装)
CallMe_CrabXie的博客
08-27 396
对应的tableData和tableDataHeader文件(实际开发中,应该从后端拿tableData,tableHeader根据情况自定义)
HTML <template> 标签的基本技巧
最新发布
ufrontend的博客
08-30 460
HTML中的标记是 Web 开发中一个功能强大但经常未得到充分利用的元素。它允许你定义可重复使用的内容,这些内容可以克隆并插入 DOM 中而无需最初渲染。此功能对于创建动态、交互式 Web 应用程序特别有用。在本文中,我们将探讨有效使用 标记的 10 个基本技巧,帮助你在项目中充分发挥其潜力。1. 了解 标记的基础知识 标记是一个 HTML 元素,它包含页面加载时不会渲染的客户端内容。
vue ref和reactive区别
灰海
08-25 4352
在第二个示例中,我们使用了reactive来创建一个名为state的响应式对象,它包含name和age两个属性。在模板中,我们通过{{ state.name }}和{{ state.age }}来显示state对象的属性值。在第一个示例中,我们使用了ref来创建一个名为count的响应式引用,它是一个简单的数字类型。在模板中,我们通过{{ count }}直接显示count的值,而不需要.value前缀,因为Vue的模板语法会自动处理ref的.value访问。
安防视频汇聚平台EasyCVR启动后无法访问登录页面是什么原因?
EasyCVR视频融合云平台的技术博客
08-27 450
以进程方式启动(./easycvr)时,清楚看到此时web端口【9004】被占用。更改端口后,EasyCVR视频汇聚平台可以正常访问了。
vue3插件原理
m0_46281382的博客
08-26 2284
简述vue3中use方法加载第三方插件原理
AI 大模型时代,对前端工程师有哪些机遇和挑战?
Z4400840的博客
08-28 1582
AI 大模型时代为前端工程师带来了丰富的机遇,同时也带来了挑战。前端工程师需要积极适应这些变化,掌握新的技能,以抓住时代发展的红利。通过不断学习和提升技术水平,前端工程师可以在AI时代中发挥更大的作用,创造更多的价值。
前端面试宝典【CSS篇】【8】
BDawn的专栏
08-26 652
绝对单位 适用于不需要缩放的场合,如打印样式。 相对单位 更适合Web设计,尤其是响应式设计。 vw/vh 适用于基于视口尺寸的布局设计。 em/rem 适用于字体大小相关的布局。
从面向对象(OOP)到面向切面(AOP):编程范式的演变
妍思码匠的博客
08-30 625
本文深入探讨了面向切面编程(AOP)在前端开发中的应用,解释了AOP如何通过动态增强与代码复用、降低模块间耦合度,为前端项目带来更高效、更模块化的解决方案。通过具体案例分析,如日志记录切面和动态埋点的实现,展示了如何利用装饰器模式、高阶组件等技术在前端实现AOP。理解AOP的原理与实践,将有助于开发者构建更易于维护和扩展的前端应用。无论你是前端新手还是资深开发者,本文都将为你提供有价值的见解和实用技巧。
前端自动导入依赖
owo_ovo的博客
08-26 700
前端模块自动导入的插件
CSRF原理及其存在场景
06-08
CSRF(Cross-Site Request Forgery)跨站请求伪造是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行恶意操作,从而在用户不知情的情况下完成一些操作,如转账、修改密码等。攻击者通常通过伪造一个请求来实现攻击,使得目标网站误认为该请求是合法的,从而执行了攻击者所要求的操作。 存在CSRF攻击的场景包括但不限于以下几种: 1. 用户在未注销的情况下,访问第三方网站:攻击者可以在第三方网站上设置一个恶意链接或按钮,当用户点击时,就会向目标网站发送一个伪造请求。 2. 用户在浏览器中打开恶意网页:攻击者可以通过诱导用户在浏览器中打开恶意网页,向目标网站发送伪造请求。 3. 邮件中的恶意链接:攻击者可以在邮件中设置恶意链接,当用户点击时,就会向目标网站发送伪造请求。 4. XSS攻击:攻击者通过在目标网站中注入恶意代码,来执行恶意操作。 对于CSRF攻击,网站开发者可以采取以下措施来进行防范: 1. 在关键操作中使用CSRF Token,防止伪造请求的攻击方式。 2. 检查Referer头信息,防止跨站请求伪造攻击。 3. 对关键操作采取二次确认,如需要用户输入密码等。 4. 在Cookie中设置SameSite属性,限制Cookie的发送范围。 5. 对用户输入进行过滤和校验,不信任任何用户输入。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值