对csrf的理解

最新推荐文章于 2024-08-09 11:28:10 发布
最新推荐文章于 2024-08-09 11:28:10 发布
阅读量59 收藏
点赞数
文章标签: 后端
原文链接:http://www.cnblogs.com/whigym/p/9987940.html
版权
  1. 用户浏览并登陆信任网站A
  2. 通过验证,在用户浏览器产出A的cookie
  3. 用户在没有登出A的情况下访问攻击网站B
  4. B要求访问第三方站点A,发出一个请求
  5. 根据B的请求,浏览器带着A的cookie访问A
  6. A不知道请求是用户发出的还是B发出的,A会根据用户的权限处理B的请求,这样B就达到了模拟用户操作的

如何防止csrf攻击 

  1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值
  2. 在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token
  3. 在用户点击提交的时候,会带上这两个值向后台发起请求
  4. 后端接受到请求,以会以下几件事件:
    • 从 cookie中取出 csrf_token
    • 从 表单数据中取出来隐藏的 csrf_token 的值
    • 进行对比
  5. 如果比较之后两值一样,那么代表是正常的请求,如果没取到或者比较不一样,代表不是正常的请求,不执行下一步操作

转载于:https://www.cnblogs.com/whigym/p/9987940.html

weixin_30247781
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF 理解
Leon_Jinhai_Sun的博客
05-24 172
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,
csrf理解
weixin_50382279的博客
12-01 535
就是说,比如现在浏览器我们在一个页面上进行了登录,这个cookie是存在浏览器缓存的,打开了另外一个页面,可能有存在img标签里的src,写入了get请求,请求的时候是能拿到cookie的,所以会出事
csrf理解session原理
热门推荐
Love&Share
04-16 1万+
CSRF xss利用站点内的信任用户,csrf通过伪装成受信任用户请求受信任的网站,即攻击者利用目标用户的身份,以目标用户的名义执行某些非法操作 攻击两个重点: 目标用户已经登陆了网站,能够执行网站的功能 目标用户访问了攻击者构造的 url 借助 burpsuite 生成 poc 将 poc 保存至 html 文件中并发布,诱导目标用户访问给文件 PHP会话(session) PHP 会话(session)实现用户登录的实现原理 session 是以文本形式存储到服务端的,php 自动修改 sessi
CSRF的简单理解
wdhxs的博客
11-30 981
CSRF(Cross-site request forgery,跨域请求伪造) 文章目录CSRF(Cross-site request forgery,跨域请求伪造)前言一、CSRF的过程二、如何防御CSRF攻击1.验证 HTTP `Referer` 字段2.使用验证码3.使用token验证 前言 CSRF是一种安全问题:攻击者盗用你的身份(客户端获取的cookie)想第三方网站发送请求,进行非法操作。 一、CSRF的过程 以访问银行网站为例: 用户User访问银行网站,登录成功后,客户端生成相应cook
记录下对xss和csrf理解
软件界的鼬神
02-12 269
XSS:解释为跨域脚本攻击 csrf:解释为跨站伪造请求
CSRF漏洞简单理解
u012903926的专栏
10-19 6429
http://www.h3c.com.cn/About_H3C/Company_Publication/IP_Lh/2012/04/Home/Catalog/201208/751467_30008_0.htmCSRF漏洞简介 CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从
csrf攻击理解 以及防御方法
weixin_44399790的博客
06-16 210
转载:https://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 浅谈CSRF攻击方式 2009-04-09 22:44hyddd 阅读(427659) 评论(133)编辑收藏举报 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSR...
CSRF 攻击详解
只为成功找方法 不为失败找借口
05-22 1065
禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
CSRF理解与防御
gaohe7091的专栏
05-23 190
出处:https://www.cnblogs.com/lsdb/p/9591399.html 一、说明 记得以前去面试技术也不太会但你总得讲点东西,让面试时间长一些让面试官觉得你基础还可以,当时选的就是名头比较大的OWASP TOP 10。TOP 10嘛你总得拿出至少三个点来讲的细一些以证明你是真的知道而不是背概念。 纵观TOP 10 注入和XSS是比较有把握的,其他什么“失效的认证和会话管...
CSRF课程.pdf
01-25
CSRF,全称为跨站请求伪造(Cross Site Request Forgery),是一种网络安全漏洞,攻击者通过诱导用户在已登录的Web应用程序上...学习此课程可以帮助你深入理解CSRF,学会如何识别和防止这类攻击,保护用户的数据安全。
CSRF demo代码
02-04
为了理解这个“CSRF demo代码”,我们需要了解以下关键概念: 1. **CSRF令牌**:一种防御CSRF攻击的方法,是服务器为每个表单生成的一个唯一随机值,必须在提交表单时一同发送回服务器。服务器检查这个令牌是否有效...
CSRF跨站请求伪造CSRF PHP demo代码
05-04
`default_05.gif`、`default_06.gif`和`yellow.jpg`是图片资源,它们与CSRF直接关系不大,但它们的存在提醒我们,Web应用的完整性和安全性也包括对静态资源的管理,防止被利用来进行XSS(跨站脚本)或其他攻击。...
详解Django的CSRF认证实现
09-20
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击手段,攻击者通过让用户在不知情的情况下发起对受信任网站的恶意请求,利用已登录用户的身份执行非授权的操作。这种攻击通常发生在用户已经登录目标...
CSRF漏洞的靶场实验
09-19
在“CSRF漏洞的靶场实验”中,我们将通过实际操作来理解这种攻击方式以及如何防御。 首先,我们需要了解CSRF攻击的基本原理。当用户访问一个网站并登录后,浏览器会保存一个叫做会话(Session)的状态,使得用户在...
Flink入门 (二)--Flink程序的编写
最新发布
zzy66666c的博客
08-09 433
其他案例demo可以参考我的GitHubhttps://github.com/NuistGeorgeYoung/flink_stream_test/ 编写一个Flink程序大致上可以分为以下几个步骤: 之后你可以设置以下配置- 按行读取文件并将其作为字符串返回。- 按行读取文件并将它们作为StringValues返回。StringValues是可变字符串。- 解析逗号(或其他字符)分隔字段的文件。返回元组或POJO的DataSet。支持基本java类型及其Value对应作为字段类型。- 解析新行(或
Node中的CSRF攻击和防御
weixin_47121832的博客
08-08 366
Node中的CSRF攻击和防御
java关于前端传布尔值后端接收一直为false问题
Explore
08-06 206
Java的基本数据类型(如int, double等)不能直接序列化,因为它们没有实现Serializable接口。但是,你可以将它们封装在实现了Serializable接口的类中。:包装数据类型(如Integer, Double等)实现了Serializable接口,因此可以直接序列化和反序列化。结果后端接收到的值一直是false?
访问公网地址返回状态码499
weixin_38924998的博客
08-07 124
1。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值