同源策略为什么可以防csrf_Spring Security 如何预防CSRF跨域攻击?

最新推荐文章于 2024-05-03 17:06:18 发布
最新推荐文章于 2024-05-03 17:06:18 发布
阅读量441 收藏
点赞数
文章标签: 同源策略为什么可以防csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34652034/article/details/112754640
版权

序言

前面我们学习了 spring security 与 springmvc 的整合入门教程。

spring secutity整合springboot入门

spring security 使用 maven 导入汇总

spring security 业界标准加密策略源码详解

这一节我们来学习一下 spring security 是如何预防 CSRF 攻击的。

拓展阅读

web 安全系列-04-CSRF 跨站请求伪造

什么是CSRF攻击?

了解CSRF攻击的最佳方法是看一个具体示例。

f832c538520dd2a6bd159103addaff6a.png

例子

假设您银行的网站提供了一种表格,该表格允许将资金从当前登录的用户转移到另一个银行帐户。

例如,转账表单可能如下所示:

http 的响请求可能如下:

POST /transfer HTTP/1.1Host: bank.example.comCookie: JSESSIONID=randomidContent-Type: application/x-www-form-urlencodedamount=100.00&routingNumber=1234&account=9876

现在,假装您对银行的网站进行身份验证,然后无需注销即可访问一个邪恶的网站。

恶意网站包含具有以下格式的HTML页面:

您想赢钱,因此单击“提交”按钮。

在此过程中,您无意中将 $100 转让给了恶意用户。

发生这种情况的原因是,尽管恶意网站无法看到您的cookie,但与您的银行关联的cookie仍与请求一起发送。

最糟糕的是,使用JavaScript可以使整个过程自动化。 这意味着您甚至不需要单击该按钮。

此外,在访问受XSS攻击的诚实站点时,也很容易发生这种情况。

那么,我们如何保护用户免受此类攻击呢?

web 安全系列-02-XSS 跨站脚本攻击

防范CSRF攻击

发生CSRF攻击的原因是受害者网站的HTTP请求与攻击者网站的请求完全相同。

这意味着无法拒绝来自邪恶网站的请求,也不允许来自银行网站的请求。

为了防御CSRF攻击,我们需要确保恶意站点无法提供请求中的某些内容,以便我们区分这两个请求

Spring提供了两种机制来防御CSRF攻击:

  • 同步器令牌模式
  • 在会话Cookie上指定SameSi
最低0.47元/天 解锁文章
小小杀鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring SecurityCSRF攻击
镜悬xhs
02-04 528
CSRF全称是Cross-site request forgery,翻译过来的意思是跨站请求伪造。 HTTP协议本身是无状态的,这意味着HTTP协议本身无法识别并记录客户身份。 ​为了实现用户登录并保持登录状态的功能,就要求在HTTP协议之上增加新的特性和功能,将无状态的HTTP协议变成可以支持状态保持的服务。 这个技术就是Session和Cookie。 Cookie是保存在浏览器端的一小段数据,服务器可以通过HTTP协议,要求客户端设置本地的Cookie数据或告知客户端将Cookie数据以HTTP
xss过滤器无法处理ajax请求_前端安全XSS和CSRF
weixin_39739661的博客
12-04 869
XSS概述XSS(Cross Site Script),指「跨站脚本攻击」。原本缩写为 CSS,但因为与层叠样式表缩写(CSS)重名要做区分,所以改为 XSS。攻击方式攻击者通过向网站页面注入恶意脚本(一般是 JavaScript),通过恶意脚本对客户端网页进行篡改,达到窃取信息等目的,本质是数据被当作程序执行。XSS 的注入点HTML 的节点内容或属性,存在读取可输入数据javascr...
前端安全护实战:XSS、CSRF御与同源策略详解(react 案例)
最新发布
qq_35374791的博客
05-03 1347
前端安全护实战中,主要涉及三个方面:XSS (Cross-Site Scripting) 攻击御、CSRF (Cross-Site Request Forgery) 攻击御,以及浏览器的同源策略
​​​​一文彻底搞懂 跨域 同源策略 csrf攻击原理
lifan_zuishuai的博客
06-26 1915
​​​​一文彻底搞懂 跨域 同源策略 csrf攻击原理
关于Spring security的一些小知识
m0_58203725的博客
11-10 560
Spring Security中一些知识的解析,为了使我们更好的理解Spring Security安全框架,该内容仅是一些自我理解,如有不足,请多担待并指正,达到互相学习目的哈
同源策略为什么可以csrf_网站漏洞攻击之跨站请求伪造CSRF
weixin_34569317的博客
01-16 371
什么是CSRF跨站请求伪造是一种互联网安全漏洞,它允许一个攻击者诱导用户操作他们不想要进行的操作。它允许攻击者绕过同源策略攻击(一种设计用来阻止不同互相干涉的策略)。跨站攻击有什么影响在一个成功的跨站攻击中,攻击者可以让受害者用户无意之中执行一些操作。比如,他可以更改账户的邮件地址或者密码或者进行资金转账等。如果受害者拥有更高的权限,那么整个操作系统和上面的数据文件都会受到窃取和破坏。跨站攻击的...
SpringSecurity框架下实现CSRF跨站攻击御的方法
08-25
什么是CSRFCSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。CSRF攻击方式通常是攻击者向用户发送留言或伪造嵌入页面,带有危险操作链接。当用户点击了攻击者的连接时,该链接...
SpringSecurityCsrf攻击实现代码解析
08-24
Spring Security Csrf 攻击实现代码解析 Spring Security 中的 Csrf 攻击御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法中实现了 Csrf Token 的生成、验证...
spring security中的csrf原理(跨域请求伪造)
08-25
总之,Spring Security通过生成和验证CSRF Token,有效地止了跨域请求伪造攻击,增强了应用程序的安全性。为了充分利用这一功能,你需要确保所有可能导致状态改变的HTTP请求都包含有效的CSRF Token。同时,为了不...
详解如何在spring boot中使用spring securityCSRF攻击
08-27
Spring Boot 中使用 Spring Security CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
spring security CSRF护的示例代码
08-26
Spring Security CSRF 护机制详解 CSRF(Cross-site request forgery),即跨站请求伪造,是一种常见的 Web 攻击。...Spring Security CSRF 护机制可以有效地CSRF 攻击,保护 Web 应用程序的安全。
服务器安全:浏览器同源策略跨域请求、XSS攻击原理御策略、如何CSRF攻击
热门推荐
寒泉
05-10 6万+
主要包括 浏览器同源策略跨域请求 XSS攻击原理御策略 如何使用SpringSecurityCSRF攻击 CC/DDOS攻击与流量攻击 什么是SSL TLS HTTPS? 一、浏览器的同源策略 请求方式:HTTP,HTTPS,Socket等 HTTP请求特点:无状态。 想要保持状态的话,需要服务器下发token/cookie到浏览器,在服务器端存的是session 服务端与客户端要建立会话: 浏览器的同源策略 同源策略:当访问同一域名下的所有子URI时,不需要重新登录。 所谓的同源是指:1.
ssrf redis getshell 写私钥_csrf和ssrf总结
weixin_39850697的博客
11-22 451
1.csrf跨站请求伪造CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。在没有关闭相关网页的情况下,点击其他人发来的CSRF链接,利用客户端的cookie直接向服务器发送请求。原理攻击者通过盗用用户身份悄悄发送一个请求,或执...
关于同源策略csrf安全策略的理解
a15850679928的博客
07-10 600
虽然做web开发有一段时间了,但是对于同源策略csrf安全策略理解一直不深刻,特抽出时间做了简单的实验进行理解。实验过程如下,与大家一起分享。 实验目的:验证同源策略csrf安全策略的关系和区别 实验方案:1.Linux搭建django框架的python服务器(a);Windows搭建简单的js服务器(b) 2.b的首页中做了如下内容:(1)...
跨域的那些事儿
大转转FE
06-23 225
前言最近做项目的时候遇到了一些跨域问题,虽然网上对于跨域的问题分享还挺多的。不过当我实际遇到的时候还是有点懵。趁项目刚上线完,写篇文章总结下。造成跨域的两种策略浏览器的同...
同源策略为什么可以csrf_[Security] 2- CSRF
weixin_39710041的博客
01-06 206
1. CSRF 是什么?跨站请求伪造 Cross-site request forgery伪造真实用户身份,对程序进行恶意攻击。解释: 用户身份是好的, 但是某人获取到了该信息后,借用真实好身份去做坏事儿。2. 攻击流程例子: 1. 一家银行的转账地址为: www.a.com/withdraw?from=A&to=B&amount=1000 2. 一个攻击者在www.b.com ...
Spring Security前置知识2--域与跨域
天下英雄出我辈,一入江湖岁月催
03-28 609
文章目录一、结论二、什么是域 Domain三、什么是域名1、如何划分域2、域名与hostname四、跨域1、什么是源,什么是跨源(域)1)一次跨域过程的跟踪2、同源策略 (SOP Same Origin Policy)1)什么是同源策略2)为什么需要同源策略3)如何控制同源策略a) CORS五、如何解决跨域1、CORS2、JSONP1)为什么叫做JSONP2)CORS与JSONP对比3、PostM...
同源策略跨域访问与跨域攻击CSRF
向小雅的博客
11-03 575
参考文章:https://blog.csdn.net/qq_38128179/article/details/84956552 同源策略 浏览器的同源策略限制,是浏览器最核心也最基本的安全功能。web基于同源策略构建,浏览器是针对同源策略的实现。同源策略会阻止一个域的js脚本和另外一个域的内容进行交互。 同源指协议+域名+端口三者相同 可以在一定程度上跨域攻击CSRF跨域访问 访问不同源,即跨域。 协议不同、域名不同(主域名、子域名)、端口不同 比如https://www.baidu.com:808
springboot csrfspring security
10-31
Spring Security还提供了可以在HTML表单中使用的特殊标记`_csrf`,用于向服务器发送令牌。通过在表单中包含此标记,可以确保提交的表单是合法的。 CSRF护是Spring Security的默认行为,因此您无需额外配置即可...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值