对CSRF的简单理解

最新推荐文章于 2024-02-20 09:48:23 发布
最新推荐文章于 2024-02-20 09:48:23 发布
阅读量969 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdhxs/article/details/110406633
版权

CSRF(Cross-site request forgery,跨域请求伪造)

文章目录

前言

CSRF是一种安全问题:攻击者盗用你的身份(客户端获取的cookie)想第三方网站发送请求,进行非法操作。

一、CSRF的过程

以访问银行网站为例:

  1. 用户User访问银行网站,登录成功后,客户端生成相应cookie。
  2. 在User未登出的情况下访问了危险网站B,在网站B中触发了一个请求,如点击图片,该图片src向银行发起转账请求。由于User未登出,在网站B向银行发送请求时,会携带cookie。
  3. 银行后台响应请求,完成非法操作。
    在这里插入图片描述

二、如何防御CSRF攻击

1.验证 HTTP Referer 字段

HTTP Referer 字段它记录了该 HTTP 请求的来源地址。服务器端可以验证请求的来源,若同源则响应。但是,HTTP Referer 字段可以被修改,因此并不安全。

2.使用验证码

在客户端使用验证码可以有效防止CSRF攻击。

3.使用token验证

这个Token的值必须是随机的。由于Token的存在,攻击者无法再构造一个带有合法Token的请求实施CSRF攻击。

三、cookie和token的区别

cookie

  • cookie是有状态的,服务器端保存的sessionID与cookie中的sessionID做对比,相同则认证成功。
  • 当浏览器发送http请求时会自动将cookie携带上,这就造成了CSRF风险。
  • 由于服务器端要保存sessionID,因此分布式的服务器不能共享sessionID。

token

token是用来认证(用户)和授权(APP)的;是令牌,访问资源接口(API)时所需要的资源凭证。

  • token是无状态的,客户端发送请求,服务器端生成token返回给客户端。
  • 客户端可以将Token保存在cookie中也可以保存在localStorage中。客户端下次请求时可以把token放在在Header中的Authorization字段发送给服务器。
  • 服务器端不需要保存sessionID,只需要通过对token使用秘钥进行解密获取用户信息,若得到的签名有效则可以进行下一步逻辑处理。
  • 因为不会像cookie一样自动随请求发送给服务端,因此可以避免CSRF攻击。
  • 可以在分布式服务器中共享一个token,还可以应用在移动端APP中。
token的生成原理

什么是token

四、设置cookie的samesite属性

Chrome51开始,浏览器设置了一个新的samesite属性用来防止CSRF攻击。

samesite

samesite用来限制第三方cookie,可以设置三个值:

  • Strict
  • Lax
  • None

Strict最严格,只有当站点URL与请求站点相同时才会携带cookie

Lax是默认值,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。

在这里插入图片描述
参考博文:
[1]: http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html
[2]: http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

Mr.Groooooooot
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF漏洞
2ed
06-13 1461
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,...
解决:禁止访问 (403) CSRF验证失败
lyw5200的博客
10-27 5365
在测试Django框架POST请求方式时,程序报错如下 在确保访问安全的情况下有一下两种方式: 1、在相应html文件form代码块中添加如下代码: <form method="post" action="/method_show/"> {% csrf_token %} <!-- 改行代码为添加部分 --> <input type="submit" value="post方式"> </form> 但是仅仅添加这句代码,...
CSRF漏洞总结
m0_62805300的博客
07-08 773
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站
vue在新窗口打开页面的方法
热门推荐
donggua_123的博客
08-14 8万+
有时候后我们会需要在一个新窗口打开页面,而我们都知道,vue是单页面的应用,通过router在内部跳转的。但是依然有办法实现这个需求。 刚开始在网上找了一下,有两种方式,一种是给outer-link标签添加tag=a跳转打开新窗口,亲测有效。 &lt;router-link tag="a" target="_blank" :to="{name:'detail',query:{goodsId:'...
Web 漏洞分析与防御之 CSRF(二)
weixin_30555515的博客
10-11 146
原文地址:Web 漏洞分析与防御之 CSRF(二) 博客地址:http://www.extlight.com 一、全称 跨站请求伪造(Cross-site Request Forgery) 二、原理 在用户登陆目标网站后,后端会返回用户登陆的凭证到前端(浏览器的 cookie)。攻击者诱使用户点击某个超链接,该超链接会发送恶意请求(会携带用户的 cookie),从而冒充用户完成业务请求(发帖、...
laravel 返回419错误解决(CSRF
明日晴空的博客
03-04 2398
1.关闭VerifyCsrfToken中间件验证 进入项目目录 app/Http/Kernel.php文件,注释下图这行代码 2、在VerifyCsrfToken 中间件,加入白名单
csrf-tester-gh-pages.zip
02-23
1. **示例应用**:一个简单的Web应用程序,模拟了易受CSRF攻击的场景,如修改用户设置、执行支付操作等。这些示例可以帮助开发者了解CSRF攻击如何影响应用程序。 2. **测试用例**:一系列的HTTP请求,用于尝试触发...
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
【HTTP的长连接与短连接】短连接在每次读写操作完成后即关闭,适用于简单的一次性交互。长连接则在完成一次读写后保持连接开放,可进行多次读写操作,常见于需要频繁交互的场景,如流媒体或持续更新的数据服务。TCP...
bbs.rar_简单 留言
09-22
【标题】"bbs.rar_简单 留言" 提供的是一个简单的留言板系统,它具有良好的通用...通过学习和研究这样的项目,开发者可以提升自己的Web开发技能,理解完整的项目流程,并掌握如何构建一个简单但功能齐全的留言板系统。
从开发角度浅谈CSRF攻击及防御
02-25
咱们可以这样子理解CSRF,攻击者可以利用你的身份你的名义去发送(请求)一段恶意的请求,从而导致可以利用你的账号(名义)去--购买商品、发邮件,恶意的去消耗账户资源,导致的一些列恶意行为.CSRF可以简单分为Get型和...
uniapp微信公众号使用iframe组件时报错{“result”:“csrf error”}
最新发布
weixin_73610394的博客
02-20 824
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF可以做什么:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发消息,转账,盗取你的账号。
禁止访问 (403) CSRF验证失败. 请求被中断.————错误处理(测试接口时遇到的问题)
Kinght_123的博客
01-06 3039
问题描述 解决措施 在Header参数中添加Content-Type和X-CSRFToken信息,这样就不会报错了。 运行结果
CSRF错误(lesson45)
bluewater的专栏
11-13 1070
lesson45第9:48min Forbidden(403) CSRF verification failed. Request aborted. Help Reason given for failure: CSRF token missing or incorrect. In general, this can occur when there is a g...
CORS处理跨域的一些小心得
weixin_34192816的博客
01-02 153
经常在工作中遇到一些跨域的问题,最近用angularJS写一个后台系统,就遇到了一些跨域的问题,在这里分享下顺便记录下.部分内容引用的阮哥哥的文章,仅仅是为了方便学习 浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。 只要同时满足以下两大条件,就属于简单请求。 (1) 请求方法是以下三种方法之一: ...
Spring Security之 CSRF 问题解决
Damien_J_Scott的博客
12-21 1182
前后端分离项目,token出现 csrf报错 两个解决方案 第一种(推荐) 在securityConfiguration中添加禁用csrf @EnableWebFluxSecurity @EnableReactiveMethodSecurity public class SecurityConfiguration { @Bean public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity h.
DWR CSRF Security Error
漫漫长路,憩息港湾.(深水鱼)
09-08 207
错误描述: org.directwebremoting.dwrp.BaseDwrpHandler - A request has been denied as a potential CSRF attack.org.directwebremoting.dwrp.BaseCallHandler - Exception while processing batchjava.lang.Security...
CSRF Security Error解决办法
wuliangji_1的博客
01-21 2733
修改 web.xml 中 DWR 配置信息 在以下中加入加粗的部分 &lt;servlet&gt;         &lt;servlet-name&gt;dwr-invoker&lt;/servlet-name&gt;         &lt;servlet-class&gt;org.directwebremoting.spring.DwrSpringServlet&lt;/servlet-...
小程序vue 获取后台数据post 请求 报错:403:CSRF Failed: CSRF token missing or incorrect
漫天随飞雪的博客
05-25 2101
参考文章:https://blog.csdn.net/lohiaufung/article/details/80792334 https://blog.csdn.net/lff1123/article/details/80254282 这是一个django的跨域访问问题。 django,会对合法的跨域访问做这样的检验,cookies里面存储的’csrftoken’,和post的header里面的字段”X-CSRFToken’作比较,只有两者匹配,才能通过跨域检验。否则会返回这个错误:CSRF..
java报错 csrf_CSRF Security Error解决办法
weixin_35724881的博客
02-25 1012
在myeclipse上部署项目,遇到如下问题:错误描述:org.directwebremoting.dwrp.BaseDwrpHandler - A request has beendenied as a potential CSRF attack.org.directwebremoting.dwrp.BaseCallHandler - Exception whileprocessing batc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值