如何防止CSRF攻击

最新推荐文章于 2024-06-26 11:13:09 发布
最新推荐文章于 2024-06-26 11:13:09 发布
阅读量6.1k 收藏 15
点赞数 4
分类专栏: 安全攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37672169/article/details/104845133
版权
本文详细介绍了CSRF(跨站请求伪造)攻击的原理、危害,通过小明的悲惨遭遇揭示了攻击过程。讨论了多种类型的CSRF攻击,如GET、POST和链接型,并分析了其特点。文章提出了同源检测、CSRF Token、双重Cookie验证和Samesite Cookie等防护策略,强调了这些策略的优缺点及实际应用中的注意事项。最后,分享了历史上WordPress和YouTube的CSRF漏洞案例,提醒开发者重视安全防护。
摘要由CSDN通过智能技术生成

  随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。
  近几年,由于业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验,现在我们讲解一下 CSRF。

CSRF攻击
CSRF漏洞的发生
  相比XSS,CSRF的名气似乎并不是那么大,很多人都认为CSRF“不那么有破坏性”。真的是这样吗?接下来有请小明出场~~
小明的悲惨遭遇
  这一天,小明同学百无聊赖地刷着Gmail邮件。大部分都是没营养的通知、验证码、聊天记录之类。但有一封邮件引起了小明的注意:

甩卖比特币,一个只要998!!

  聪明的小明当然知道这种肯定是骗子,但还是抱着好奇的态度点了进去(请勿模仿)。果然,这只是一个什么都没有的空白页面,小明失望的关闭了页面。一切似乎什么都没有发生…
  在这平静的外表之下,黑客的攻击已然得手。小明的Gmail中,被偷偷设置了一个过滤规则,这个规则使得所有的邮件都会被自动转发到haker@hackermail.com。小明还在继续刷着邮件,殊不知他的邮件正在一封封地,如脱缰的野马一般地,持续不断地向着黑客的邮箱转发而去。
  不久之后的一天,小明发现自己的域名已经被转让了。懵懂的小明以为是域名到期自己忘了续费,直到有一天,对方开出了 $650 的赎回价码,小明才开始觉得不太对劲。
  小明仔细查了下域名的转让,对方是拥有自己的验证码的,而域名的验证码只存在于自己的邮箱里面。小明回想起那天奇怪的链接,打开后重新查看了“空白页”的源码:

<form method="POST" action="https://mail.google.com/mail/h/ewt1jmuj4ddv/?v=prf" enctype="multipart/form-data"> 
    <input type="hidden" name="cf2_emc" value="true"/> 
    <input type="hidden" name="cf2_email" value="hacker@hakermail.com"/> 
    .....
    <input type="hidden" name="irf" value="on"/> 
    <input type="hidden" name="nvp_bu_cftb" value="Create Filter"/> 
</form> 
<script> 
    document.forms[0].submit();
</script>

  这个页面只要打开,就会向Gmail发送一个post请求。请求中,执行了“Create Filter”命令,将所有的邮件,转发到“hacker@hakermail.com”。小明由于刚刚就登陆了Gmail,所以这个请求发送时,携带着小明的登录凭证(Cookie),Gmail的后台接收到请求,验证了确实有小明的登录凭证,于是成功给小明配置了过滤器。黑客可以查看小明的所有邮件,包括邮件里的域名验证码等隐私信息。拿到验证码之后,黑客就可以要求域名服务商把域名重置给自己。
  小明很快打开Gmail,找到了那条过滤器,将其删除。然而,已经泄露的邮件,已经被转让的域名,再也无法挽回了… 以上就是小明的悲惨遭遇。而“点开一个黑客的链接,所有邮件都被窃取”这种事情并不是杜撰的,此事件原型是:2007年Gmail的CSRF漏洞。当然,目前此漏洞已被Gmail修复,请使用Gmail的同学不要慌张。

什么是CSRF
  CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
一个典型的CSRF攻击有着如下的流程:

  • 受害者登录a.com,并保留了登录凭证(Cookie)。
  • 攻击者引诱受害者访问了b.com。
  • b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie。
  • a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
  • a.com以受害者的名义执行了act=xx。
  • 攻击完成,攻击者在受害者不知情的情况下,冒充受害者,让a.com执行了自己定义的操作。

几种常见的攻击类型

  1. GET类型的CSRF
    GET类型的CSRF利用非常简单,只需要一个HTTP请求,一般会这样利用:
 <img src="http://bank.example/withdraw?amount=10000&for=hacker" >

在受害者访问含有这个img的页面后,浏览器会自动向http://bank.example/withdraw?account=xiaoming&amount=10000&for=hacker发出一次HTTP请求。bank.example就会收到包含受害者登录信息的一次跨域请求。

  1. POST类型的CSRF
    这种类型的CSRF利用起来通常使用的是一个自动提交的表单,如:
 <form action="http://bank.example/withdraw" method=POST>
    <input type="hidden" name="account" value="xiaoming" />
    <input type="hidden" name="amount" value="10000" />
    <input type="hidden" name="for" value="hacker" />
</form>
<script> document.forms[0].submit(); </script&g
最低0.47元/天 解锁文章
许文杰
关注
  • 4
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何防止CSRF攻击?
ccyzq的博客
03-17 4282
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
java防止csrf攻击_java网页程序采用 spring 防止 csrf 攻击.
weixin_42571444的博客
02-13 446
经常开发银行的应用,在安全性方面要求比较高,在安全性保护方面,csrf 攻击是必须测试的项目之一,关于什么是 csrf 攻击,我不想多做解释,网上已经介绍够多了,可以参看 IBM Developer works 的文章 http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ 这篇文章介绍了 csrf 的危害和一般解决办法,在实际开发...
防止CSRF攻击
SK_study的博客
01-27 2660
防止 CSRF攻击
如何防止CSRF攻击
m0_58989398的博客
06-26 719
如上代码所示,可以看到,该页面只要打开,就会向Gmail发送一个post请求,请求中,执行了“Create Filter”命令,将所有邮件转发到“hacker@hakermail.com”,A由于刚刚就登录了Gmail,所以这个请求发送时,携带着A的登录凭证(Cookie),Gmail的后台接收到请求,验证了确实有A的登录凭证,于是成功给A配置了过滤器,黑客可以查看A的所有邮件,包括邮件里的域名验证码等隐私信息,拿到验证码后,黑客就可以要求域名服务商把域名重置给自己。
防止CSRF攻击三种方法
key_3_feng的博客
02-23 3044
如何防止 CSRF 攻击,具体来讲主要有三种方式:充分利用好 Cookie 的 SameSite 属性、验证请求的来源站点和使用 CSRF Token。这三种方式需要合理搭配使用,这样才可以有效地防止 CSRF 攻击
php如何防止csrf攻击
大熊
12-31 853
原创2019-09-20 13:51:230 CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货...
为什么Cookie无法防止CSRF攻击,而Token可以?
m0_58989398的博客
06-24 289
上边提到,进行Session认证的时候,一般是使用Cookie来存储Session,当我们登录后,后端生成一个SessionId放在Cookie中返回给客户端,服务端通过Redis或者其他存储工具记录保存这个SessionId,客户端登录以后每次请求都会带上这个SessionId,服务端通过这个SessionId来标识登录用户这个人,如果别人通过Cookie拿到了SessionId后就可以代替你的身份访问系统了。,那跨站请求伪造是什么意思呢?下一章我们说说如何防止CSRF攻击?,跨站脚本攻击缩写为。
前端安全系列之二:如何防止CSRF攻击
qq_53058639的博客
01-02 1072
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击
jinyangjie的博客
02-14 6802
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
前端安全:如何防止CSRF攻击
02-24
在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
**Django CSRF护详解** CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种...确保在所有可能的POST请求中包含CSRF令牌,并更新你的前端代码以处理CSRF保护,可以有效地防止CSRF攻击,保护用户数据的安全。
环形伪:环形中间件可防止CSRF攻击
01-31
如果请求中没有正确的令牌或者令牌不匹配,服务器将拒绝处理该请求,从而防止CSRF攻击。 环形中间件的工作流程如下: 1. **令牌生成**:当用户登录成功后,服务器生成一个随机且唯一的伪令牌,并将其存储在会话...
基于Springboot和Vue的图书借还管理系统源码 图书借还管理系统代码(高分毕设)
07-28
图书借还管理系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
C语言内存管理:静态与动态分配的较量
07-28
C语言是一种通用的编程语言,由丹尼斯·里奇(Dennis Ritchie)在20世纪70年代早期于美国电话电报公司(AT&T)的贝尔实验室开发。C语言以其高效性、灵活性和可移植性而闻名,它是一种过程式编程语言,提供了对底层硬件的直接访问能力。 C语言的特点包括: 1. **简洁高效**:C语言的语法简洁,执行效率高,适合编写系统软件。 2. **接近硬件**:C语言提供了对内存地址和位操作的直接控制,使其非常适合硬件级编程。 3. **可移植性**:C语言编写的程序可以在不同的操作系统和硬件平台上编译和运行,具有很好的可移植性。 4. **丰富的库支持**:C语言拥有大量的标准库,如标准输入输出库(stdio.h)、数学库(math.h)等。 5. **结构化编程**:C语言支持结构化编程,允许使用循环、条件判断和函数等控制结构。 6. **指针**:C语言的指针功能强大,可以操作内存地址,实现复杂的数据结构和算法。 7. **编译型语言**:C语言是一种编译型语言,源代码需要通过编译器转换成机器码才能运行。 C语言广泛应用于操作系统(如Unix和Linux)、嵌入式系统、高性能
通讯协议规范-命令包格式
07-28
提供一份通讯协议规范,包含命令包、格式等,在上下位机调试的时候可参考该文档,制定对应的通讯协议。
四足宠物机器狗动态步行规划与仿真.pdf
最新发布
07-28
四足宠物机器狗动态步行规划与仿真
spring cloud 如何防止CSRF攻击
04-28
Spring Cloud提供了多种方式来防止CSRF攻击: 1. 使用Spring Security防止CSRF攻击,配置`csrf().disable()`来禁用CSRF保护。 2. 添加CSRF Token,Spring Security提供了一种方便的机制来添加CSRF Token到表单中,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值