Mozilla为Firefox添加新的CSRF保护

最新推荐文章于 2024-09-21 21:25:21 发布
最新推荐文章于 2024-09-21 21:25:21 发布
阅读量144 收藏
点赞数
原文链接:http://blog.51cto.com/13520190/2110633
版权

Mozilla公司在上周宣布,即将推出的Firefox 60将引入对同一站点Cookie属性的支持,以保护用户免受CSRF(跨站请求伪造)***。

CSRF***允许恶意行为者通过让恶意行为者访问特制网页来代表经过身份验证的用户在网站上执行未经授权的活动。这些类型的***利用了以下事实:对网站的每个请求都包含Cookie(储存在用户本地终端上的数据),许多网站依靠这些Cookie进行身份验证。

Mozilla指出,当前的Web架构不允许网站可靠地确定请求是由用户合法发起,还是来自第三方脚本。“为了弥补,同一站点的Cookie属性允许一个Web应用程序通知浏览器,只有当请求来自cookie来自的网站时,才应该发送cookie,”Mozilla安全小组成员在一篇博客文章中解释道,“与URL栏中出现的URL不同的请求,将不会包含带有这个新属性的cookie。”

目前计划于5月9日发布的Firefox 60将尝试使用具有以下两个值之一的相同站点属性来保护用户免受CSRF***:严格或松散。

在严格模式下,当用户点击来自外部站点的入站链接时,即使它们具有活动会话,它们也将被视为未认证,因为cookie不会被发送。在宽松模式下,当用户安全地从外部网站导航时(例如通过链接),Cookie将被发送,但不会在跨域子请求(例如为图像或帧创建的子请求)上发送Cookie。宽松模式专为可能与严格模式不兼容的应用程序而设计。

转载自墨者学院https://mozhe.cn/news/detail/238

转载于:https://blog.51cto.com/13520190/2110633

weixin_34354173
关注
CSRF与XSS结合利用
m0_56578216的博客
08-28 467
我们先用bp在后台管理员修改账户密码的时候抓到了它的post请求包,然后将password字段修改后放入一段JS代码中,这段代码是XSS和CSRF漏洞的结合,接着我们找到cms网页中存在XSS漏洞的位置,即留言板,利用留言板注入JS代码,当后台管理审核留言时看到我们的留言,就会被攻击,使得网站的状态被改变,从而使EMT用户的密码被修改,这就是XSS和CSRF的结合。
浏览器内核、网络安全、XSS、CSRF相关
莫不静好
08-17 423
1、浏览器内核 1、IE浏览器内核:Trident内核,也是俗称的IE内核; 2、Chrome浏览器内核:统称为Chromium内核或Chrome内核,以前是Webkit内核,现在是Blink内核; 3、Firefox浏览器内核:Gecko内核,俗称Firefox内核; 4、Safari浏览器内核:Webkit内核; 5、Opera浏览器内核:最初是自己的Presto内核,后来是Webkit,现在是Blink内核; 6、360浏览器、猎豹浏览器内核:IE+Chrome双内核; 7、搜狗、遨游、QQ浏览器内
CSRF攻击与防御(写得非常好)
墨鱼菜鸡
07-11 372
From:https://www.daguanren.cc/post/csrf-introduction.html From:https://blog.csdn.net/stpeace/article/details/53512283 CSRF 攻击的应对之道:https://www.ibm.com/developerworks/cn/web/1102_...
[理论-学习]Web安全-CSRF-基础02
3hex的博客
09-11 333
声明: 由于笔者能力有限,难免出现各种错误和漏洞。全文仅作为个人笔记,仅供参考。 笔记内容来源于各类网课 环境:DVWA [low级别] 一、概述 利用GET请求式的CSRF漏洞。 二、CSRF利用 1. 场景介绍 我们使用两个浏览器Chrome和FireFox,有两个用户admin和smithy,模拟环境。 admin拥有最高权限,smithy为普通用户。 管理员为admin,使用Chrome登陆DVWA,并管理系统。(用户名:admin,密码:password) 我们是攻击者.
网络安全-跨站请求伪造(CSRF)的原理、攻击及防御
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
Firefox Hacks
08-25
他在 Mozilla 面的工作包括撰写大量关于 MozillaFirefox 和开源的文章,如在 InformIT 上的《Searching for Substance》栏目以及为 TUX 杂志撰写的《Mozilla Meanderings》。他还为多种期刊和在线出版物做出贡献...
unchecky-for-firefox
07-20
"unchecky-for-firefox" 是一个专门为 Mozilla Firefox 浏览器设计的扩展程序,它的主要功能是帮助用户避免在下载软件时无意间勾选了不必要的额外软件或工具栏。这款扩展通过自动取消选中默认勾选的附加选项,保护...
跨站请求伪造(CSRF)漏洞详解
CoffeMilk的博客
09-21 1252
跨站请求伪造(Cross-site request forgery 简称:CSRF);是一种冒充受信任用户,向服务器发送非预期请求的攻击式(它允许攻击者诱使用户执行他们不打算执行的操作;允许攻击者部分绕过同源策略,该策略旨在防止不同网站相互干扰)【CSRF主要利用的是网站对用户网页浏览器的信任】【XSS 利用的是用户对指定网站的信任】。 跨站请求伪造的攻击特性是危害性大但非常隐蔽,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。
火狐浏览器免费可用hackbar
11-18
Hackbar,全称为Firefox HackBar,是一款强大的网页调试工具,允许用户在浏览器上执行各种HTTP请求,进行XSS(跨站脚本)测试、SQL注入测试、CSRF(跨站请求伪造)探测等安全相关的功能。它能够帮助开发者和安全专家...
burpsuite之CSRF测试
热门推荐
andyfeng088的博客
05-04 1万+
本测试以burpsuite与火狐浏览器为例 一、设置代理 这个记得先置为off,因为on的意思是 开启拦截,所以先关闭拦截才能成功提交表单。 这个记得先置为off,因为on的意思是 开启拦截,所以先关闭拦截才能成功提交表单。 二、抓包 火狐: 进入对应可能存在漏洞的网址或表单 ·增或修改表单: (1) 增/修改 (2) 填写表单 (3...
火狐受信任站点设置_零信任安全和软件定义边界
weixin_30131105的博客
12-15 316
01. 零信任安全(zero trust security)零信任安全是一种IT安全模型。零信任安全要求对所有位于网络外部或网络内部的人和设备,在访问专用网络资源时,必须进行严格的身份验证。零信任安全需要通过多种网络安全技术实现。零信任安全技术特性包括:零信任网络背后的理念是假设网络内部和外部都存在攻击者,因此不应自动信任任何用户或计算机。零信任安全性的另一个原则是最小特权访问。即只向用户提供所需...
【基本功】 前端安全系列之二:如何防止CSRF攻击?
美团技术团队
10-11 3651
总第290篇2018年 第82篇当当当当,我是美团技术团队的程序员鼓励师美美~“基本功”专栏又来文章了,本篇是我们前端安全系列文章的第二篇,主要聊聊前端开发过程中遇到的...
复现CSRF时遇到的问题
qq_51478862的博客
11-22 2755
环境 dvwa中low水平的csrf复现,专业版火狐与谷歌 问题 修改密码,发现img标签中src获取的cookie值与浏览器获取的不同。 在网上找了半天也没解决,后来让朋友用他的浏览器访问我的dvwa,结果他的能够复现,所以不是网站的问题,那就是浏览器的问题。我用的是专业版的火狐与谷歌浏览器都不行,但他用到普通浏览器就可以了。 后来我在火狐专业版设置cookie中把严格改为标准就可以了。 但对于谷歌就不知道怎么解决了。 由这个问题可以看出来,浏览器对于cookie的严格把控也可以防止CSRF漏洞。 .
CSRF攻击原理以及nodejs的实现和防御
weixin_30716725的博客
05-16 396
一、简介 CSRF (Cross-site Request Forgery),中文名称:跨站伪造。危害是攻击者可以盗用你的身份,以你的名义发送恶意请求。比如可以盗取你的账号,以你的身份发送邮件,购买商品等。 二、原理 具体的原理图如下: 更加恐怖的是使用诸如img之类的标签,甚至不需要用户点击某个链接就可以发起攻击,比如B网站可以添加如下代...
Firefox禁用JavaScript
烟敛寒林的博客
04-17 3381
Firefox禁用JavaScript 1、在Firefox地址栏里输入“about:config”。 2、在搜索栏输入“javascript.enabled”查找到首选项。 3、点击鼠标右键选择“切换”,把“javascript.enabled”键值改为“false” 这样就能禁止JavaScript的运行了.
2019年,禁止firefox老版本强制校验扩展签名
warcraftzhaochen的专栏
08-27 1430
Disable add-on signing check in Release (all) versions of Firefox Firefox version 65+ (or so) The following instructions will disable signature checking on Firefox for the Firefox profile in which y...
实现朴素贝叶斯分类器对西瓜书数据集3.0进行分类_Naive-Bayesian-classifier.zip
最新发布
10-01
实现朴素贝叶斯分类器对西瓜书数据集3.0进行分类_Naive-Bayesian-classifier
基于Python与Shell的system-design-primer大型系统设计源码学习指南
10-01
该项目是一个大型系统设计源码学习指南,采用Python和Shell编程语言编写,包含127个文件,其中包括54个PNG图像文件、23个Markdown文档、17个Graffle文件、14个Python源代码文件、6个Jupyter Notebook文件、5个JPG图片文件、3个Android应用程序包文件,以及各类型的配置和忽略文件。该指南旨在帮助用户深入理解如何设计和构建复杂系统。
Firefox添加IE特有的DOM法和属性
标题和描述提到的问题是关于如何在Mozilla Firefox(moz-firefox)中模拟Internet Explorer(IE)特有的法和属性,以实现代码在不同浏览器上的兼容性。在IE中,有一些法和属性是Firefox不支持的,如`removeNode`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值