anti-CSRF Token布署时需要注意的一点问题

最新推荐文章于 2024-07-12 14:33:22 发布
最新推荐文章于 2024-07-12 14:33:22 发布
阅读量1.2w 收藏 5
点赞数 1
分类专栏: 大前端技术 安全架构 文章标签: token csrf session 脚本 浏览器 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tenfyguo/article/details/6032126
版权
本文探讨了在部署anti-CSRF Token时可能遇到的问题,重点关注如何确保Token的安全性和正确使用,包括Token的生成、存储、验证以及在跨域、脚本和不同浏览器环境下的兼容性策略。
摘要由CSDN通过智能技术生成

from : http://hi.baidu.com/aullik5/blog/item/b2cdb4444d061c21cffca3a5.html

 

      防范CSRF攻击的方案有许多种,有用验证码来防的( tenfy:方案比较重,适合于敏感数据的变更类操作,对一般查询信息类不是很合适),更多的是生成一个 随机的token,当用户提交的时候,在服务器端比对一下token值是否正确,不正确就丢弃掉,正确就验证通过。

     (因为有些人喜欢钻牛角尖,所以再次强调下,我们习惯于区分 CSRFXSRF,后者是在 XSS的情况下,防范CSRF和防范XSS是需要分开的两套防御方案)

      由于CSRF的防范原理是比对token,所以需要存在两个token用来比对,其中一个,已经下发到用户的返回页面里去了,而且是用户提交请求时候的一个必须的参数。另外一个token,一般就存在于服务器的session中;当然这样会造成依赖于session,使得在restful的架构环境下不好在不同服务期间拷贝session,所以,还有一种做法就是将token放到保存了完整session的cookie中。

      JJYY了这么多ÿ
最低0.47元/天 解锁文章
tenfyguo
关注
专栏目录
django-react-csrftoken:一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单
02-03
npm install --save django-react-csrftoken 用法 import React from 'react' ; import DjangoCSRFToken from 'django-react-csrftoken' class MyLoginForm extends React . Component { render ( ) { return ( ...
27家网络安全大厂,程序员找工作用得上!
瓦罗兰特顶级C位的博客
11-24 651
27家网络安全大厂,程序员找工作用得上!
程序猿必读-防范CSRF跨站请求伪造
weixin_34232617的博客
02-27 252
CSRF(Cross-site request forgery,中文为跨站请求伪造)是一种利用网站可信用户的权限去执行未授权的命令的一种恶意攻击。通过伪装可信用户的请求来利用信任该用户的网站,这种攻击方式虽然不是很流行,但是却难以防范,其危害也不比其他安全漏洞小。 本文将简要介绍CSRF产生的原因以及利用方式,然后对如何避免这种攻击方式...
Nexus 远程命令执行漏洞 CVE-2020-10199复现
最新发布
qq_62056583的博客
07-12 1089
nexus 远程代码执行 (CVE-2020-10199)漏洞是一个基于maven的仓库管理器,漏洞主要是不安全的执行了EL表达式导致的,根据网上的内容也就明白了为什么对于memberNames中的值进行修和插入payload的操作了,这跟CVE-2019-7238漏洞原理也有异曲同工之处,同样是通过对于一些定义的函数不加以检查然后导致出现漏洞被用来注入执行远程代码。
web安全之tokenCSRF攻击
热门推荐
梦空间
05-03 2万+
上文我转载了两篇关于ThinkPHP令牌验证的文章(ThinkPHP中的create方法与自动令牌验证)。其中提及到了  token ,这里针对 token 的作用,转载了另外两篇文章。 (web安全之token   Web安全之CSRF攻击) web安全之token 参考:http://blog.csdn.net/sum_rain/article/details/370
如何使用反 CSRF 令牌保护您的网站和 Web 应用程序
zzhongcy的专栏
09-15 1161
虽然在许多情况下这在技术上可能是正确的,但通常很难预测访问 API 的所有方式(以及将来可能修的方式),因此为 REST API 提供 CSRF 保护可能会被视为额外的安全层。使用上述基本的反 CSRF 令牌,您可以在登录在用户会话 cookie 中设置令牌,然后为每个表单验证相同的令牌。为了平衡安全性和可用性,您可以为您使用的每个表单生成单独的令牌。但现在假设您的站点使用简单的基于令牌的 CSRF 缓解措施,并且您的 Web 服务器在登录后立即发送到浏览器的会话 cookie 中设置令牌。
CSRF攻击与防御(写得非常好)
freeking101的博客
01-28 2万+
  From:https://www.daguanren.cc/post/csrf-introduction.html From:https://blog.csdn.net/stpeace/article/details/53512283 CSRF 攻击的应对之道:https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf WEB三大攻...
superagent-django-csrf:修补程序,将cookie中的`csrftoken`作为X-CSRFToken`标头添加到每个超级代理的请求中
05-02
补丁加csrftoken从饼干作为X-CSRFToken头球每个SuperAgent的要求。 用法 // Just require patch require ( 'superagent-django-csrf' ) ; 安装 npm install superagent-django-csrf 执照 麻省理工学院:copyright:
Anti-CSRF token
09-24
通常,生成Anti-CSRF token需要使用随机数生成器来确保每个令牌的唯一性。服务器端将生成的令牌存储在会话中,并在每次请求将其与用户提交的令牌进行比较。如果两者不匹配,服务器会拒绝该请求。
anti-csrf, 全功能反CSRF库.zip
09-18
anti-csrf, 全功能反CSRF库 反csrf库 动机没有任何好的会话来支持CSRF保护库。 我们的意思是:CSRF令牌可以限制为以下任何或者全部:特定会话特定的HTTP URI特定的IP地址( 可选)可以存储多个CSRF令牌CSR
anticsrfCSRF预防库的示例用法
02-02
反抗 CSRF预防库的示例用法
anti-csrf:功能齐全的反CSRF
04-29
CSRF库 动机 没有好的会话驱动的CSRF预防库。 好的,我们的意思是: 可以将CSRF令牌限制为以下任意一项或全部: 一个特定的会议 特定的HTTP URI 特定的IP地址(可选) 可以存储多个CSRF令牌 CSRF令牌在使用一次后失效 会话数据中存储的令牌数量上限在我们的实现中,最早的被删除 警告-请勿在所有$_SESSION数据都存储在客户端的cookie中的任何项目中使用。 这将快速运行HTTP cookie的最大4KB存储空间。 在任何项目中使用 请参阅autoload.php以获取SPL自动加载器。 与Twig模板一起使用 首先,添加一个像这样的过滤器: use \ ParagonIE \ AntiCSRF \ AntiCSRF ; $ twigEnv -> addFunction ( new \ Twig_SimpleFunction (
【 安全】什么是CSRF攻击?如何避免?开发的候怎么预防?
m0_59598029的博客
03-19 2685
CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网站的恶意利用,也被称为 one-click attack或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF跨站点请求伪造(Cross—Site Request Forgery) 跟XSS攻击一样,存在巨大的危害性。
不好,有敌情,遭到CSRF攻击【网络安全篇】
Y525698136的博客
04-12 234
相信到这里,你对CSRF攻击也有一些了解了,这种攻击方式是黑客利用我们登录的这种状态,在我们登录的网站里操作了一些隐私敏感的功能,但我们通过相对应的防御手段就可以防御住这波敌情,最终取得胜利。
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5936
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个tokenAntCSRFtoken)项目的token生成代码:当我们每次请求修页面的候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的候,后台会去查一下session里面,有没有tok
CSRF 保护
guanren8929的博客
07-05 992
简介跨站请求伪造是一种通过伪装授权用户的请求来利用授信网站的恶意漏洞。Django使得防止应用遭到跨站请求伪造攻击变得简单。Django自动为每一个被应用管理的有效用户会话生成一个 CSRF “令牌”,该令牌用于验证授权用户和发起请求者是否是同一个人。任何候在 Django应用中定义HTML表单,都需要在表单中引入CSRF令牌字段,这样CSRF保护中间件才能够正常验证请求。想要生成包含 CSRF...
Web 安全 — CSRF 的原理和攻防
Mark
08-08 1009
1、CSRF 是个啥? CSRF 是跨站请求伪造(Cross Site Request Forgery),它和 XSS 的攻击性相当,危害性也很大。 举个例子,小明今天打开电脑登录 qq,然后去别的网站找苍老师的学习视频,正在津津有味的学习的过程中,这候走入了CSRF 的攻击流程!这个网站的内容是大黑客精心布局的,画面非常刺激。典型的 CSRF 攻击就是点击 B 网站,影响 A 网站。比如, 点击黄网, qq 被盗。 其原理通俗点讲就是:攻击者盗用了你的身份,并以你的名义发送恶意请求或消息,盗取你的
CSRF:跨站请求伪造攻击
qq_68163788的博客
02-05 1690
CSRF(Cross-Site Request Forgery)是一种网络安全攻击,攻击者利用用户已经登录的身份,在用户不知情的情况下发送恶意请求,以执行某些操作或获取用户的敏感信息。攻击者通常会诱使用户访问包含恶意请求的页面,或者通过其他方式注入恶意代码,以触发CSRF攻击。 CSRF攻击通常利用用户在其他网站上的身份验证信息,因此攻击者可以利用这些信息来执行恶意操作,比如更用户密码、转账、发送消息等。由于CSRF攻击利用了用户的信任和已登录的身份,因此很难被用户察觉。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值