关于CSRF的一点记录

最新推荐文章于 2024-09-26 19:08:51 发布
最新推荐文章于 2024-09-26 19:08:51 发布
阅读量615 收藏
点赞数
分类专栏: 杂记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011393161/article/details/81228403
版权

参考文章
http://www.vuln.cn/7134/

首先,参考文章写得非常棒,最近在看个东西,正好看到X-XSRF-TOKEN这个头,之前没见过,所以就查了下,貌似是防御xsrf攻击用的,自己对xsrf不甚了解,所以就查了些文章,其中参考文章是写得最详细的了,记录一下自己的理解过程。

很多文章里都提到了,xsrf是自己建一个网站A,然后你知道B网站有个请求get,然后有人登录过B,又访问了你的网站A,点了你网站上的一个按钮,发送了请求get到B,于是,从你的网站A上发出的这个请求get,由于浏览器的cookie共享策略,而带上了网站B的cookie信息,当然请求的参数可能被你改了。

当时我看到这里,第一反应是,从A发这个请求get到B,这难道不是跨域,我在这个问题上卡了不少时间,其实是我犯傻了,习惯地以为这请求一定是ajax发的,其实这确实就是个跨域请求,这个请求不是通过ajax,而是通过img,script这样的方式来发送,如果是个post,那就通过form提交操作来完成。

当然现在这种方式已经有了几种防御的方式,但是比起xss,感觉这种方式有一种类似借刀杀人的妙处,可能比喻不恰当。

vzhufeng
关注
专栏目录
记录CSRF攻击
人生苦短,我用python
11-17 567
CSRF攻击的原理和防范措施 CSRF跨站请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 攻击原理: i.用户C访问正常网站A时进行登录,浏览器保存A的cookie ii.用户C再访问攻击网站B,网站B上有某个隐藏的链接或者
xss和csrf总结学习
姜小孩的博客
12-26 2116
目录 xss和csrf 前言: 区别: XSS篇!!!!! 漏洞简介: 分类: 利用: CSRF篇!!!!! 漏洞简介: 分类: 利用: xss和csrf 前言: 断更的原因是期末考试压身。本来我是想学CSRF,但是看到他和XSS很像,我就想到我XSS好像没学太好,只是做了做题。那正好就两个一起学对比一下,关于这两种漏洞做题记录,就再等等吧哈哈哈 区别: 这两种漏洞是有区别的。依我来看,csrf可谓是假传圣旨,利用盗取的账号做一些事情。xss是骗皇上下圣旨,得到你的小饼干,然
spring boot admin CSRF 解决记录
weixin_40455124的博客
08-27 2021
目标: 实现通过spring boot admin 修改对应进程的日志级别,但不希望裸奔,希望通过用户+密码模式处理 在处理过程中,在应用侧加上了如下代码: package masktest.server.nacos.spring.security; import java.util.Arrays; import org.springframework.boot.actuate.autoconfigure.security.servlet.EndpointRequest; import org.spri
关于csrf
u014203449的博客
10-21 188
csrf有一种防范方法是设置token.,客户端请求加一个变量,危险网站虽然伪装请求有cookie,但请求参数中的token他不知道。 涉及到一个问题,获取session中的数据,必须发起请求!js无法直接获取(js只能获取cookie),jsp是后端渲染其实是服务端语言,thymleaf.也得通过请求才能获得session数据,如果没请求的情况下第一次进入thynleaf页面,是无法获取ses...
漏洞组合拳之XSS+CSRF记录
金色%夕阳的博客
08-20 791
漏洞组合拳之XSS+CSRF记录 0x00 前言 0x01 靶场环境 0x02 组合拳思路 0x03 【第一拳】存储型 XSS + CSRF 1、构造 POC 2、 开工 0x04 【第二拳】CSRF + SelfXSS 1、构造 POC 0x05 总结
CSRF的原理及防御
最新发布
qq3416518976的博客
09-26 758
关于CSRF的反制
DVWA 之 CSRF
RexHa的博客
09-30 7738
CSRF,跨站域请求伪造,通常攻击者会伪造一个场景(例如一条链接),来诱使用户击,用户一旦击,黑客的攻击目的也就达到了,他可以盗用你的身份,以你的名义发送恶意请求。
模拟CSRF攻击
pan2635376816的博客
07-04 706
一般来说,跨域就是 协议&域名&端口号 有一个不一致就是跨域了,我上面那两个应用端口是不一致的,那不就跨域了吗?谁在阻止跨域?是浏览器处于安全策略阻止非同源请求。事实上,每次跨域请求都是正常发送的,服务端也会正常返回,只是被浏览器拦截了。所以每次请求都会到达服务端。也就是说,至少攻击页面的表单请求是可以发出的,而且由于使用了目标网站认可的cookie,请求会被响应。当浏览器收到服务端响应的数据时,会判断给数据的源和当前页面的源是否同源。针对不同的源,如果后端没有做相应的处理,则会被浏览器过滤。
关于CSRF和SSRF知识详解
qq_44857938的博客
06-12 935
关于CSRF和SSRF知识详解 CSRF 1.CSRF漏洞介绍 CSRF(Cross-Site Request Forgey,跨站伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。具体来讲,可以这样理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,
关于django 1.10 CSRF验证失败的解决方法
01-01
如果你不想使用这个功能,直接找到settings.py中的’django.middleware.csrf.CsrfViewMiddleware’,这一行,直接给丫注释掉,就不用启动CSRF检查了,一了白了,当然了如果你是练手的时候这么干还行,正式一点
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 2487
本篇总结归纳CSRF漏洞
如何防止CSRF攻击?
ccyzq的博客
03-17 4364
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
CSRF漏洞
2ed
06-13 1522
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,...
react-hooks踩坑:invalid hook call
热门推荐
u011393161的博客
08-05 1万+
最近在写一个react组件的时候,遇到了这个问题,因为这个组件是想作为npm包使用,然后在组件里面使用了useEffect,这个组件本身的package.json里安装了react和react-dom作为devDependencies,另外建了测试工程,测试工程里单独装了react和react-dom,用npm link的方式来测试这个组件,然后就遇到这个报错 1. You might have mismatching versions of React and the renderer 2. You mi
作为一个面试官如何准备一场面试
u011393161的博客
05-19 5065
本人工作年限不多,作为面试官次数也不多,以下只是自己的思考和记录,不喜轻喷,经验老道的面试官以及非技术类的面试官就不要看了,浪费您的时间。 从一次经历说起 不知道第一次作为面试官去面试别人的时候,你是什么样的想法和做法,我陪同事面试过别人一次,那是那个同事第一次做面试官,同事上来就问了一些基础知识,应该是事前准备的,不过没有写在纸上(我写这句是有意义的),面试的同学答的一般,然后就陷入了...
长短链接转换
u011393161的博客
07-19 2666
把一个长链接https://xxx.com?aaa=123&bbb=456转换成一个短链接http://yyy.com/abcd这样的需求是挺常见的,今天写了写这个计算,单纯为了玩耍,离企业应用还差得远 第一反应就是base64,因为看到了短链接里的字母和数字,但是base64越编码越长,所以是不满足要求的,那么就找个对象来存呗,所以我就写了个这样的 let urlMap = {}; ...
webpack+babel打包出的class是怎么个实现
u011393161的博客
02-13 1289
某天突然想看看ES6的class是怎么个实现法,就随便写了个简单的例子试了试,先看例子 // add.js export default class Add { add(a, b) { return a + b; } minus(a, b) { return a - b; } static hah() { console.log("hah"); ...
多组件编辑页面思路总结
u011393161的博客
02-25 926
最近在写一个东西,类似下面这张图,左边是组件区,比如有文本、图片、列表等;中间是渲染区,把左边的组件拖动到中间区域,就可以渲染一个对应的组件出来;鉴于每个组件需要不同的渲染结果,所以右边提供对每个组件的渲染内容的设置,根据每个组件类型的不同,右边编辑区的设置项也不同。 这个东西的使用场景是,让用户自定义页面,中间的渲染区是自定义页面的效果展示,组件区就是自定义页面上支持放置的组件。 用react...
Django CSRF保护机制深度解析
"详解Django的CSRF认证实现" Django是一个流行的Python Web框架,它在安全性方面提供了很多内置的支持,其中包括对CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击的防护。CSRF是一种网络攻击手段,攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值