为什么token能防止csrf攻击

最新推荐文章于 2024-05-15 09:15:00 发布
最新推荐文章于 2024-05-15 09:15:00 发布
阅读量1.7k 收藏 3
点赞数 2
分类专栏: web 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011982711/article/details/113741133
版权

用户登录了A网站,此时A网站与用户建立session,在浏览器上setCookie,JSESSIONID=cb4f911c-39d9-4f2a-b762-3a07396722fa; NG_TRANSLATE_LANG_KEY=%22en%22;

用户访问B网站,B网站有个诱导href=“www.A.com?delete",用户点击了,因为用户当前已经登陆了A网站,所以用户被诱导删除了。原因是浏览器区访问A网站时,A网站是通过request获取cookie,从而获取sessionid,获得了用户的登录状态(换而言之,攻击者可以在不知道用户登录信息条件下,让用户自己打自己),如果我们想避免攻击,A网站不应该通过cookie获取登录状态,而是应该通过www.A.com?delete&token=xxxxx方式,因为对方并不知道当前用户的token

vickyhwj
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
问道session_id或sessionid_v1.0.0
般若
12-13 169
token、jwt、oauth2标准,统统都玩腻了?不是。那为什么突然调研session?因为也很重要呀。 开始 登录原理 git clone https://gitee.com/lcg0124/bootdo sql 启动 登录成功 jsessionid 使用Chrome浏览器,按F12,随便点一个接口,观察XHR,找到刚才访问的接口,找到请求头,找到cookie,记住cookie里的jsessionid Cookie: csrftoken=v4a4CLBKD7CxSsPf66qmph2e2MPU6xmp
Token的作用
bai___DDD的博客
03-06 2753
Token 是在服务端产生的,如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。为什么要用 Token? 要回答这个问题很简单,因为它能解决问题! Token 能解决哪些问题呢?有如下几点: Token 完全由应用管理,所以它可以避开同源策略。 Token 可以避免CSRF攻击(保护ASP.NET 应用免受 CSRF 攻击 - 张善友 - 博客园)。 Token 可以是无状态的,可以在..
前端安全系列之二:如何防止CSRF攻击
最新发布
qkh1234567的博客
05-15 1072
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie。
WEB安全之Token浅谈
sum_rain的专栏
07-05 7750
Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件
为什么token能够防止CSRF(修正版)
qq_45888932的博客
04-06 9809
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击
jinyangjie的博客
02-14 6786
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
在Django中预防CSRF攻击的操作
09-17
防止CSRF攻击的基本步骤如下: 1. **生成CSRF Token**:Django在每次用户请求时,会生成一个唯一的CSRF Token,并将其存储在客户端的cookie中。这个Token是一个随机且不可预测的字符串,用于验证后续的POST请求。 ...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
**Django CSRF防护详解** CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种...确保在所有可能的POST请求中包含CSRF令牌,并更新你的前端代码以处理CSRF保护,可以有效地防止CSRF攻击,保护用户数据的安全。
Flask模拟实现CSRF攻击的方法
09-20
防止 CSRF 攻击通常采用以下方法: 1. **验证 Token**:服务器在生成页面时,生成一个唯一的 CSRF Token,并将其存储在用户的会话(Session)或 Cookie 中。同时,将这个 Token 放入 HTML 表单的一个隐藏字段。当...
web安全之token
weixin_33739627的博客
07-07 662
参考:http://blog.csdn.net/sum_rain/article/details/37085771   Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。 那么,Token有什么作用?又是什么原理呢? Token一般用在两个地方: 1)防止表单重复提交、 2)anti csrf攻击(跨站点请求伪造)。 两者在原理上都是通过ses...
通信安全//为什么 token可以防止 csrf?
weixin_37877794的博客
07-27 2300
参考 Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中。 所以CSRF本质原因是“重要操作的所有参数都是可以被攻击者猜测到的”,Token加密后通过Cookie储存,只有同源页面可以读取,把Token作为重要操作的参数,CSRF无法获取Token放在参数中,也无法仿造出正确的Token,就被防止掉了。
token为什么能防止csrf_注意!!CSRF和XSS攻防知识点来了
weixin_39740737的博客
11-29 4660
作者:侯医生链接:https:segmentfault.com/a/1190000006672214导读随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊WEB前端的安全那些事儿。这里不去说那些后端的攻击(SQL注入、DDOS攻击等),我们就聊一聊前端工程师们需要...
为什么token能防范CSRF攻击、cookie是同源的
qq_36582776的博客
03-19 1066
CSRF是用户登录安全A网站后,点击危险B网站,危险B利用A中的cookie(不是获取,只是利用登录的状态)替代用户进行危险操作。 token验证是需要将token放到请求头或者请求体里,发送给服务器进行验证。 而token虽然是存储于cookie中的,但是危险B无法获取和解析cookie也就拿不到token,就无法冒用用户身份。 cookie是同源的,而打开简书的两个页面是同源的,所以这两个页面的源相同、cookie同。 查看cookie:cookie有哪些内容? 以键值对形式存储,包括
token为什么能防止csrf_CSRF漏洞探讨
weixin_39753211的博客
11-29 1784
今天和大家聊聊CSRF(Cross—Site Request Forgery)跨站点请求伪造背景:节后上班的第一天,无心工作,还被告知今天的文章还没有发,心塞。又被告知负责的某个产品下某个页面存在一个跨站请求伪造漏洞,该漏洞会导致攻击者可以恶意通过浏览器盗用用户身份信息发送一些恶意请求,可能会存在盗号风险,心更塞。惨痛的教训总结最深刻的经验,这波经验无私奉献给你们。一、CSRF原理什么是...
token为什么能防止csrf_「Burpsuite练兵场」CSRF(二)
weixin_39770821的博客
12-10 679
Burpsuite练兵场系列文章更新啦,今天的内容是延续上期关于CSRF的内容介绍,感兴趣的小伙伴千万别错过了呦!上期回顾「Burpsuite练兵场」CSRF(一)实验一:Token关联到非会话cookie实验提示:应用程序 email change模块存在CSRF漏洞,启用了token防护,但是并未将csrf令牌防护整合到会话管理中。实验要求:构造CSRF利用代码并上传到exploit serv...
cookies为什么会有csrf风险,为什么token可以避免
qq_44705614的博客
03-16 543
如果使用token,因为token可以不放在cookie里面,在发送请求时经过前端程序处理才可以把token放到请求参数中,所以在直接请求伪造的地址时,浏览器会自动让请求携带cookie,但是没经过前端的操作,请求不会携带token,服务器没有验证token,就会拦截不服务。当浏览器发送请求且浏览器存在 Cookie 且同源不跨域时,浏览器会自动在请求头携带上 Cookie 数据。所以浏览器对csrf背锅,即利用的是网站对用户网页浏览器的信任。CSRF 利用的是网站对用户网页浏览器的信任。
token为什么能防止csrf_你了解可怕的CSRF攻击吗?
weixin_39858132的博客
12-10 2874
来源丨小怪聊职场www.jianshu.com/p/67408d73c66d什么是CSRF攻击CSRF攻击的全称是跨站请求伪造( cross site request forgery),是一种对网站的恶意利用。CSRF 是通过伪装来自受信任用户的请求来利用受信任的网站。你可以这么理解 CSRF攻击攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。CRSF能做的事情包括:利用...
token为什么能防止csrf
06-13
CSRF攻击的本质是攻击者利用用户的身份信息,冒充用户发送恶意请求,从而实现攻击的目的。而token机制可以防止CSRF攻击的原因在于,它引入了一个额外的验证机制,使得攻击者无法生成有效的请求。 在服务端生成token时,需要使用随机数生成器、加密算法等来生成一个随机值,并将该值设置到cookie或者session中,并在表单或者AJAX请求中加入一个隐藏域,将该值作为token传递到客户端。当用户提交请求时,服务端会对请求中的token进行验证,检查token是否与服务端生成的一致,如果不一致,则认为该请求是非法请求,拒绝执行。 攻击者无法获取到用户的token值,因此无法在请求中正确地传递token值,也就无法通过服务端的验证。因此,token机制可以有效地防止CSRF攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值