前端安全之CSRF + token加密

最新推荐文章于 2024-05-15 09:15:00 发布
最新推荐文章于 2024-05-15 09:15:00 发布
阅读量2.3k 收藏 5
点赞数 1
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wei_dan1129/article/details/105971706
版权

跨站请求伪造,Cross Site Request Forgery(CSRF):是代替用户完成指定的动作,需要知道其他用户页面的代码和数据包。

CSRF攻击

例子:用户是在icbc.com.cn进行正常的转账操作 我们想把资金转到Beauty.com

在这里插入图片描述

1.利用一个用户的会话cookie在浏览器没有关闭的时候,是不会被删除的。
在我们的Beauty.com中构造一个领奖页面,里边包含一个连接,让用户去点击

恭喜你获得了iPhone X一台,快来 <a href="www.icbc.com.cn/transfer?toBankId=账户名&money=金额">领取吧!</a>

我们得事先知道icbc.com.cn的转账操作的url和参数名称。如果这个用户恰好登录了icbc.com, 那他的cookie还在, 当他禁不住诱惑,点了这个链接后,一个转账操作就神不知鬼不觉的发生了

2.利用img标签用户不进行链接点击也能完成转账操作

<img src="www.icbc.com.cn/transfer?toAccountID=黑客三兄弟的账户&money=金额">

只要他打开了这个页面,不用点击任何东西,就会发生转账操作。

3.icbc.com.cn的转账操作需要form表单,是POST操作的情况
创建一个不可见的form,用户一访问就用JavaScript自动提交;

<form action="http://www.icbc.com.cn/transfer" method="POST">
	<input type="text" name="toAccountId" value="账户"/>
	<input type="text" name="money" value="金额"/>
</form>

减少CSRF攻击的方法

  • 1.服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。
  • 2.使用验证码
  • 用户在icbc.com.cn转账,显示转账的form,除了常用的字段之外,额外添加一个token ;这个token是icbc.com服务器端生成的,是一个随机的数字。
<form action="http://www.icbc.com.cn/transfer" method="POST">
	<input type="hidden" name="token" value="daft12348899"/>
	<input type="text" name="toAccountId" value="账户"/>
	<input type="text" name="money" value="金额"/>
</form>

用户的转账数据发送的服务器端, icbc.com就会检查从浏览器发过来的数据中有没有token,并且这个token的值是不是和服务器端保存的相等,如果相等,就继续执行转账操作,如果不相等,那这次POST请求肯定是伪造的。

介绍下如何实现 token 加密

  • 1.token加密主要是用来做客户端和服务端的用户信息校验
  • 2.服务端生成随机数,用户登录会将随机数告知客户端,并自己在缓存空间保留一份,每次客户端发送token,
  • 服务端会对比缓存空间是否有此token,来判断用户是否存在
  • 3.当确定token存在,进行下一步校验…,最后通过token拿取客户端需要的信息
  • 4.加密方法:JWT,AES,DES…或者直接随机字符串
wei_dan1129
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
遇到简单的token加密
sumeishu的博客
02-21 879
前言 最近在使用python爬取字节跳动的招聘信息时,遇到了token加密,如图 这里遇到了"x-csrf-token"这个请求头,上网查询资料才知道这是一个防范CSRF的攻击方法。 下面说一下如何破解这个token加密,仅供参考。 一、"CSRF"是什么? CSRF(Cross-site request forgery)也被称为 one-click attack或者 session riding,中文全称是叫「跨站请求伪造」。一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问
盘点Python爬虫中的常见加密算法,建议收藏!!
m0_59162248的博客
02-28 811
相信大家在数据抓取的时候,会碰到很多加密的参数,例如像是“token”、“sign”等等,今天小编就带着大家来盘点一下数据抓取过程中这些主流的加密算法,它们有什么特征、加密的方式有哪些等等,知道了这些之后对于我们逆向破解这些加密的参数会起到不少的帮助!
前端安全系列之二:如何防止CSRF攻击?
最新发布
qkh1234567的博客
05-15 1087
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie。
token验证概述及在React中实现token验证
橘猫吃不胖的博客
03-15 5642
token验证概述及在React中实现token验证1 什么是token2 token的作用3 React中实现token验证 1 什么是token token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。当用户第一次登录后,服务器生成一个token并将此token返回给客户端, 以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。 简单token的组成:①uid(用户唯一的身份标识);②time(当前时间的时间戳);③sign(签名,token的前几位以
JS 之 项目中登录密码加密token处理
玄鱼殇
04-24 5732
前端登录~
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 2万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
Django中csrf-token验证原理
bocai_xiaodaidai的博客
09-19 2380
众所周知,django通过CsrfViewMiddleware中间件来下发和校验csrf-token有效性的。 那么,这个中间到底是怎么实现token校验的呢? 首先,django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 csrftoken,并把这个 csrftoken 放在 cookie 里。然后每次 POST 请求都会带上这个 csrftoken。(这个csrftoken的有效期非常长(52周)) 在前后端不分离的django项目中,可以通过{%csrf_token%}标签在表
前端知识Token知识点笔记.pdf
05-31
因此,Token机制应运而生,它通过将信息打包并加密,既减轻了服务器压力,又增强了安全性。 Token定义为一个经过数字签名和加密的字符串,包含用户的唯一身份标识、时间戳、签名以及可选的固定参数。这个字符串用于...
前端cookies安全视频
12-14
"前端cookies安全视频"聚焦于如何安全地使用这些小型文本文件,确保Web应用程序的数据安全性和用户隐私。以下是对视频内容的详细解释: 一、Cookies的定义与用途 Cookies是由服务器发送到用户的浏览器并存储在本地...
Web前端安全问题及对策.pdf
01-02
"Web前端安全问题及对策" Web前端安全问题是指在Web前端中存在的安全隐患,包括跨站点脚本攻击、跨站请求伪造、界面操作劫持等问题,这些问题可能会导致用户敏感数据的丢失、财产损失、网站崩溃等严重后果。因此,...
淘宝网 :前端安全须知
03-16
总结来说,前端安全需要全面考虑,包括但不限于输入验证、输出编码、使用安全的编程实践、以及防止各种类型的XSS和CSRF攻击。对于电商平台如淘宝网,前端安全的强化不仅有助于保护用户数据,还能提升平台的信誉和...
token前端页面的处理及java后台代码( 登录 /加载登录用户的信息/ 置换token
02-27
在现代Web应用开发中,Token已经成为安全认证的重要手段。标题提到的"token前端页面的...在实际开发中,还需要考虑其他因素,如CSRF防护、Token安全存储和传输,以及错误处理策略,以确保应用的安全性和用户体验。
安卓前端购物商城+服务端+mysql
07-20
同时,前端与后端的交互需防止XSS(跨站脚本攻击)和CSRF(跨站请求伪造)等安全问题。为了提升性能,前端可能会采用缓存策略减少不必要的网络请求,后端则会进行数据库优化,比如使用连接池提高数据库访问速度。 6...
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
SpringSecurity框架下实现CSRF跨站攻击防御的方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也...通过使用CSRF token攻击防护和前端请求携带CSRF Token的方式,可以有效地防御CSRF攻击。
vue+spring boot网盘练习项目前端代码之登陆注册页面
03-09
在实际开发过程中,还需要注意安全性问题,如防止XSS和CSRF攻击,以及数据传输时的加密。同时,为了提供良好的用户体验,可以利用Vue的特性实现表单的即时验证,给出友好的提示信息。通过Vue.js和Spring Boot的结合...
Node登录权限验证token验证实现的方法示例
12-17
在现代Web应用程序中,安全是至关重要的,尤其是对于登录权限的验证。`Token`机制已经成为一种常见的用户身份验证方法,...然而,需要注意的是,为了确保安全性,还需要考虑Token的过期策略、防止CSRF攻击等安全措施。
ajax post csrf,django文档中介绍的处理ajax_post时,头中添加csrf_token的方法
weixin_42347750的博客
08-06 285
AJAX¶While the above method遇新是直朋能到 can be used for AJAX POST requests, it has someinconveniences: you have to remember to pass the CSRF token in as POST data withevery POST request. For this reason, t...
CSRF】动态生成CSRF_TOKEN
qq_35807303的博客
12-27 1867
项目场景: 项目相关背景: 在日常项目开发过程中,很多敏感的数据接口都很容易被恶意访问和调用,这种情况下为了避免接口被跨页面攻击(以下统称:Cross-site request forgery(CSRF)),都会在请求接口出增加临时token,避免接口被恶意调用,但是很多框架只支持静态页面生成渲染CSRF TOKEN,对动态api接口并不友好(前后端分离),只能自己写动静都支持的代码逻辑; 业务代码: 以下是相关的示例代码,此代码支持动态api接口使用,能满足各个业务端使用,每次调用验证完成之后都会自动
token及用tokencsrf
weixin_44720762的博客
06-01 8021
为什么会出现csrf:一方面,用户安全意识不足,访问不知名的url。另一方面,web没有做到准确的合法用户验证。 由此产生了token,也就是令牌。以修改个人信息页面为例。每当用户访问此页面。html脚本会生成一个随机token,相当于给用户发了一个令牌。通过url中的header一并发到后端。当是这和单一的id其实并没有多大的不同,任何人都可以通过抓包伪造。所以就需要签名。通过算法,将用户id ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值