通信安全//为什么 token可以防止 csrf?

最新推荐文章于 2022-04-06 23:26:24 发布
最新推荐文章于 2022-04-06 23:26:24 发布
阅读量2.3k 收藏 8
点赞数 4
分类专栏: # 基础-HTML/CSS/JavaScript细节知识点 # 刷题 项目相关 文章标签: cookie csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37877794/article/details/119139528
版权

参考

Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中

所以CSRF本质原因是“重要操作的所有参数都是可以被攻击者猜测到的”,Token加密后通过Cookie储存,只有同源页面可以读取,把Token作为重要操作的参数,CSRF无法获取Token放在参数中,也无法仿造出正确的Token,就被防止掉了。

爱吃松果的美美
关注
专栏目录
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
Java Web 应用的安全攻防之 CSRF 漏洞分析
最新发布
AI天才研究院
10-09 810
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one-click attack”或者Session riding,其利用网站对用户浏览器的信任,通过伪装成用户正常操作的动作,达到恶意盗取用户信息、执行违规操作等目的,是一种常用的Web应用安全漏洞。CSRF在很多Web应用中都存在着严重的隐患,攻击者可以盗用用户的登录信息、Cookie等,进而冒充用户进行各种恶意操作。因此,保护用户的个人信息安全、系统安全应首要考虑。
为什么token能够防止CSRF(修正版)
qq_45888932的博客
04-06 1万+
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击?
jinyangjie的博客
02-14 7020
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
为什么 token可以防止 csrf?
weixin_38655450的博客
06-18 654
Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中。 ...
token为什么能防止csrf_非常好的一片文章:CSRF
weixin_39861882的博客
12-03 1218
关于跨域与 csrf 的那些小事​juejin.im关于跨域与 csrf 的那些小事前言 在这段时间,部门前辈分享了不少干货。我学到了不少内容,并对其进行简单整理,以便更好地转化为自己的知识。知识探讨部分关于跨域产生协议,域名,端口三者其中存在不同都会形成跨域;故,当协议,端口,域名三者均相同时,浏览器就会认为是同源,允许加载该资源,否则为不同源。跨域存在原因:浏览器的同源限制策略请求:客户端(...
token为什么能防止csrf_「Burpsuite练兵场」CSRF(二)
weixin_39770821的博客
12-10 711
Burpsuite练兵场系列文章更新啦,今天的内容是延续上期关于CSRF的内容介绍,感兴趣的小伙伴千万别错过了呦!上期回顾「Burpsuite练兵场」CSRF(一)实验一:Token关联到非会话cookie实验提示:应用程序 email change模块存在CSRF漏洞,启用了token防护,但是并未将csrf令牌防护整合到会话管理中。实验要求:构造CSRF利用代码并上传到exploit serv...
token为什么能防止csrf_CSRF漏洞探讨
weixin_39753211的博客
11-29 1860
今天和大家聊聊CSRF(Cross—Site Request Forgery)跨站点请求伪造背景:节后上班的第一天,无心工作,还被告知今天的文章还没有发,心塞。又被告知负责的某个产品下某个页面存在一个跨站请求伪造漏洞,该漏洞会导致攻击者可以恶意通过浏览器盗用用户身份信息发送一些恶意请求,可能会存在盗号风险,心更塞。惨痛的教训总结最深刻的经验,这波经验无私奉献给你们。一、CSRF原理什么是...
同源政策/跨域与跨域解决策略/web安全攻击CSRF以及XSS
darabiuz的博客
02-11 3231
1.同源策略 1. 什么是同源 同源策略是浏览器安全的基石,当前网页的url和ajax请求地址的url必须同源,它要求协议、域名、端口号三者必须相同,只要有一处不同就属于跨域 2. 为什么要有同源策略 想象这样一个场景,你登录并信任了一个购物网站A,然后在没有退出的情况下登陆了恶意网站B,由于浏览器携带了cookie信息,那么B就可以冒充用户向A网站发送请求,比如购买物品之类的违背用户预期的恶意行为,带来严重影响,这其实也就是平时所说的CSRF攻击(具体见下文对于CSRF的介绍),由来同源策略以后,主要限制
解决django前后端分离csrf验证的问题
09-19
无论哪种方式,关键在于确保前端能够获取和使用Django的CSRF token,以防止跨站请求伪造攻击。在实施这些解决方案时,一定要测试所有涉及CSRF保护的接口,确保它们在实际操作中能正常工作。同时,理解CSRF的工作原理...
信息安全技术:CSRF的防御编程.pptx
11-01
如果Referer字段的值不是预期的站点地址,服务器可以拒绝处理该请求,从而防止CSRF攻击。但是,这种方法并非绝对安全,因为某些浏览器或隐私设置可能会禁用Referer字段,或者攻击者可能通过技术手段篡改Referer,...
token为什么能防止csrf_渗透技巧之CSRF
weixin_39847034的博客
12-10 381
CSRF即跨站请求伪造,说的简单点,实际上就是攻击者伪造一个表单数据的URL链接,让用户去点击,从而达到我们获取数据的目的,当然,不止是获取数据,修改我们想要的密码、新增个管理员账户、上传个木马等,能达到我们的攻击目的就行。 在我做渗透测试工作的时候,通常探测CSRF漏洞也很简单,也算是个小技巧吧。抓取一个网站的POST请求,删除Referer字段(无Origin字段,有...
CSRF攻击预防的Token生成原理
热门推荐
陈万洲的专栏
12-30 1万+
以往我们讲到CSRF,谈及都是CSRF的攻击原理,这次讲一下预防CSRF,生成Token背后的加密原理和具体实现例示。 1.Token构成。 从需求功能上来讲,为了防止CSRF工具,token需要具有不重复,另外,还含有特定的功能信息,比如过期时间戳。 下面的图描述了一个token的数据构成: Token的数据结构。 ---------------------------
token 为什么可以防止CSRF 攻击
qq_40929531的博客
12-03 2362
token 是被开发者发送给后端的,攻击者如果无法获取到token 是无法通过后端服务器的校验的 但是cookie 不同,只要在同一个浏览器,浏览器就会自动将cookie 放入请求头中,如果用cookie 做登录验证,例如: 小明登录了csdn, 此时小明突然想到了一件事情,登录了另一个网站,而这个网站被不知名的人埋入了一些请求,这些请求是当其他人进入该网站,则请求csdn 友好的帮助访问者发布一篇文章, 假如csdn 使用的是cookie做登录判断,小明访问该网站时触发了该请求,浏览器会自动将coo
为什么token防止csrf攻击
u011982711的博客
02-07 1741
用户登录了A网站,此时A网站与用户建立session,在浏览器上setCookie,JSESSIONID=cb4f911c-39d9-4f2a-b762-3a07396722fa; NG_TRANSLATE_LANG_KEY=%22en%22; 用户访问B网站,B网站有个诱导href=“www.A.com?delete",用户点击了,因为用户当前已经登陆了A网站,所以用户被诱导删除了。原因是浏览器区访问A网站时,A网站是通过request获取cookie,从而获取sessionid,获得了用户的登录状态,
token为什么能防止csrf_寻找CSRF漏洞的技巧
weixin_39688687的博客
12-05 190
CSRF即跨站请求伪造,说的简单点,实际上就是攻击者伪造一个表单数据的URL链接,让用户去点击,从而达到我们获取数据的目的,当然,不止是获取数据,修改我们想要的密码、新增个管理员账户、上传个木马等,能达到我们的攻击目的就行。 在我做渗透测试工作的时候,通常探测CSRF漏洞也很简单,也算是个小技巧吧。抓取一个网站的POST请求,删除Referer字段(无Origin字段,有就删),进行重放即可,如...
TOKEN验证防止CSRF攻击的原理
weixin_34362991的博客
11-29 4128
CSRF中文名是跨站请求伪造攻击,黑客可以通过CSRF攻击来伪造我们的身份,从而进行不法的活动。比如说是以我们的身份进行转账,发送邮件等操作。要想做到预防CSRF攻击,首先需要了解CSRF攻击的原理,只有这样才可以真正的掌握预防的手段。CSRF攻击的原理是这样的:(1):当我们登陆某个网站以后,因为HTTP协议是无状态的,所以为了保存我们的登陆状态,服务器中的程序就必须创建一个session文件,...
token为什么能防止csrf_注意!!CSRF和XSS攻防知识点来了
weixin_39740737的博客
11-29 4729
作者:侯医生链接:https:segmentfault.com/a/1190000006672214导读随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊WEB前端的安全那些事儿。这里不去说那些后端的攻击(SQL注入、DDOS攻击等),我们就聊一聊前端工程师们需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值