anti-CSRF Token布署时需要注意的一点问题

最新推荐文章于 2024-07-12 14:33:22 发布
最新推荐文章于 2024-07-12 14:33:22 发布
阅读量1.2w 收藏 5
点赞数 1
分类专栏: 大前端技术 安全架构 文章标签: token csrf session 脚本 浏览器 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tenfyguo/article/details/6032126
版权
本文探讨了在部署anti-CSRF Token时可能遇到的问题,重点关注如何确保Token的安全性和正确使用,包括Token的生成、存储、验证以及在跨域、脚本和不同浏览器环境下的兼容性策略。
摘要由CSDN通过智能技术生成

from : http://hi.baidu.com/aullik5/blog/item/b2cdb4444d061c21cffca3a5.html

 

      防范CSRF攻击的方案有许多种,有用验证码来防的( tenfy:方案比较重,适合于敏感数据的变更类操作,对一般查询信息类不是很合适),更多的是生成一个 随机的token,当用户提交的时候,在服务器端比对一下token值是否正确,不正确就丢弃掉,正确就验证通过。

     (因为有些人喜欢钻牛角尖,所以再次强调下,我们习惯于区分 CSRFXSRF,后者是在 XSS的情况下,防范CSRF和防范XSS是需要分开的两套防御方案)

      由于CSRF的防范原理是比对token,所以需要存在两个token用来比对,其中一个,已经下发到用户的返回页面里去了,而且是用户提交请求时候的一个必须的参数。另外一个token,一般就存在于服务器的session中;当然这样会造成依赖于session,使得在restful的架构环境下不好在不同服务期间拷贝session,所以,还有一种做法就是将token放到保存了完整session的cookie中。

      JJYY了这么多ÿ
最低0.47元/天 解锁文章
tenfyguo
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django-react-csrftoken:一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单
02-03
npm install --save django-react-csrftoken 用法 import React from 'react' ; import DjangoCSRFToken from 'django-react-csrftoken' class MyLoginForm extends React . Component { render ( ) { return ( ...
CSRF的防御问题
sinat_35417322的博客
07-08 328
目录 背景 什么是CSRF? CSRF的防御 总结 背景 等保测评,发现系统漏洞csrf,当收到漏洞报告,一脸蒙。 什么是CSRF? CSRF:Cross Site Request Forgery,跨站点请求伪造。这是一种很长见的WEB攻击,同也是WEB安全中最容易被忽视的一种攻击方式。 为了更好的理解举个例子: 在同一浏览器下,不同tag下发起请求,首先登陆系统...
Web 安全 — CSRF 的原理和攻防
Mark
08-08 1006
1、CSRF 是个啥? CSRF 是跨站请求伪造(Cross Site Request Forgery),它和 XSS 的攻击性相当,危害性也很大。 举个例子,小明今天打开电脑登录 qq,然后去别的网站找苍老师的学习视频,正在津津有味的学习的过程中,这候走入了CSRF 的攻击流程!这个网站的内容是大黑客精心布局的,画面非常刺激。典型的 CSRF 攻击就是点击 B 网站,影响 A 网站。比如, 点击黄网, qq 被盗。 其原理通俗点讲就是:攻击者盗用了你的身份,并以你的名义发送恶意请求或消息,盗取你的
Nexus 远程命令执行漏洞 CVE-2020-10199复现
最新发布
qq_62056583的博客
07-12 1004
nexus 远程代码执行 (CVE-2020-10199)漏洞是一个基于maven的仓库管理器,漏洞主要是不安全的执行了EL表达式导致的,根据网上的内容也就明白了为什么对于memberNames中的值进行修和插入payload的操作了,这跟CVE-2019-7238漏洞原理也有异曲同工之处,同样是通过对于一些定义的函数不加以检查然后导致出现漏洞被用来注入执行远程代码。
web安全之tokenCSRF攻击
热门推荐
梦空间
05-03 2万+
上文我转载了两篇关于ThinkPHP令牌验证的文章(ThinkPHP中的create方法与自动令牌验证)。其中提及到了  token ,这里针对 token 的作用,转载了另外两篇文章。 (web安全之token   Web安全之CSRF攻击) web安全之token 参考:http://blog.csdn.net/sum_rain/article/details/370
CSRF--渗透测试
h0ers的博客
05-27 466
CSRF漏洞原理和修复方案
不好,有敌情,遭到CSRF攻击【网络安全篇】
Y525698136的博客
04-12 225
相信到这里,你对CSRF攻击也有一些了解了,这种攻击方式是黑客利用我们登录的这种状态,在我们登录的网站里操作了一些隐私敏感的功能,但我们通过相对应的防御手段就可以防御住这波敌情,最终取得胜利。
程序猿必读-防范CSRF跨站请求伪造
weixin_34232617的博客
02-27 250
CSRF(Cross-site request forgery,中文为跨站请求伪造)是一种利用网站可信用户的权限去执行未授权的命令的一种恶意攻击。通过伪装可信用户的请求来利用信任该用户的网站,这种攻击方式虽然不是很流行,但是却难以防范,其危害也不比其他安全漏洞小。 本文将简要介绍CSRF产生的原因以及利用方式,然后对如何避免这种攻击方式...
superagent-django-csrf:修补程序,将cookie中的`csrftoken`作为X-CSRFToken`标头添加到每个超级代理的请求中
05-02
补丁加csrftoken从饼干作为X-CSRFToken头球每个SuperAgent的要求。 用法 // Just require patch require ( 'superagent-django-csrf' ) ; 安装 npm install superagent-django-csrf 执照 麻省理工学院:copyright:
anti-csrf, 全功能反CSRF库.zip
09-18
anti-csrf, 全功能反CSRF库 反csrf库 动机没有任何好的会话来支持CSRF保护库。 我们的意思是:CSRF令牌可以限制为以下任何或者全部:特定会话特定的HTTP URI特定的IP地址( 可选)可以存储多个CSRF令牌CSR
anti-csrf:功能齐全的反CSRF
04-29
CSRF库 动机 没有好的会话驱动的CSRF预防库。 好的,我们的意思是: 可以将CSRF令牌限制为以下任意一项或... use \ ParagonIE \ AntiCSRF \ AntiCSRF ; $ twigEnv -> addFunction ( new \ Twig_SimpleFunction
anticsrfCSRF预防库的示例用法
02-02
反抗 CSRF预防库的示例用法
Teino1978-Corp-spring-security-csrf-token-interceptor-
04-29
它通过默认情况下对/进行AJAX HTTP HEAD调用来做到这一点,然后检索HTTP标头'X-CSRF-TOKEN'并在所有HTTP请求上设置相同的令牌。 spring-security-csrf-token-interceptor还支持配置CSRF标头名称,在出现Forbidden...
27家网络安全大厂,程序员找工作用得上!
瓦罗兰特顶级C位的博客
11-24 617
27家网络安全大厂,程序员找工作用得上!
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5912
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个tokenAntCSRFtoken)项目的token生成代码:当我们每次请求修页面的候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的候,后台会去查一下session里面,有没有tok
如何使用反 CSRF 令牌保护您的网站和 Web 应用程序
zzhongcy的专栏
09-15 1116
虽然在许多情况下这在技术上可能是正确的,但通常很难预测访问 API 的所有方式(以及将来可能修的方式),因此为 REST API 提供 CSRF 保护可能会被视为额外的安全层。使用上述基本的反 CSRF 令牌,您可以在登录在用户会话 cookie 中设置令牌,然后为每个表单验证相同的令牌。为了平衡安全性和可用性,您可以为您使用的每个表单生成单独的令牌。但现在假设您的站点使用简单的基于令牌的 CSRF 缓解措施,并且您的 Web 服务器在登录后立即发送到浏览器的会话 cookie 中设置令牌。
CSRF
kuiguowei的博客
01-16 1168
CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。 C
DVWA靶场之CSRF(跨站请求伪造)
m0_65712192的博客
11-12 1036
DVWA靶场之CSRF(跨站请求伪造)
CSRF:跨站请求伪造攻击
qq_68163788的博客
02-05 1637
CSRF(Cross-Site Request Forgery)是一种网络安全攻击,攻击者利用用户已经登录的身份,在用户不知情的情况下发送恶意请求,以执行某些操作或获取用户的敏感信息。攻击者通常会诱使用户访问包含恶意请求的页面,或者通过其他方式注入恶意代码,以触发CSRF攻击。 CSRF攻击通常利用用户在其他网站上的身份验证信息,因此攻击者可以利用这些信息来执行恶意操作,比如更用户密码、转账、发送消息等。由于CSRF攻击利用了用户的信任和已登录的身份,因此很难被用户察觉。
Anti-CSRF token
09-24
Anti-CSRF token(跨站请求伪造防护令牌)是一种用于保护网站免受跨站请求伪造(CSRF)攻击的安全机制。它通过在用户访问网站生成一个唯一的令牌,并将该令牌嵌入到每个表单或请求中。在提交表单或请求服务器会验证该令牌是否有效,如果无效则拒绝该请求。 使用Anti-CSRF token可以有效防止攻击者利用用户的身份执行恶意请求。攻击者往往通过诱使用户点击包含恶意代码的链接或访问被攻击的网站,然后在用户不知情的情况下发送恶意请求。但由于攻击者无法获取到有效的Anti-CSRF token,即使请求被发送到服务器,也会因为缺少有效的令牌而被服务器拒绝。 通常,生成Anti-CSRF token需要使用随机数生成器来确保每个令牌的唯一性。服务器端将生成的令牌存储在会话中,并在每次请求将其与用户提交的令牌进行比较。如果两者不匹配,服务器会拒绝该请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值