预防CSRF攻击

最新推荐文章于 2024-03-19 11:00:00 发布
最新推荐文章于 2024-03-19 11:00:00 发布
阅读量157 收藏
点赞数
分类专栏: 安全 文章标签: 预防CSRF攻击 
Cross Site Request Forgery,中文是:跨站点请求伪造。

CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。

举个例子

简单版:

假如博客园有个加关注的GET接口,blogUserGuid参数很明显是关注人Id,如下:

http://www.cnblogs.com/mvc/Follow/FollowBlogger.aspx?blogUserGuid=4e8c33d0-77fe-df11-ac81-842b2b196315
那我只需要在我的一篇博文内容里面写一个img标签:

<img style="width:0;" src="http://www.cnblogs.com/mvc/Follow/FollowBlogger.aspx?blogUserGuid=4e8c33d0-77fe-df11-ac81-842b2b196315"   />
那么只要有人打开我这篇博文,那就会自动关注我。

如何预防?

1.把可能攻击的请求尽量用post

2.生成token储存在cookie,session,传输时把token带上,服务端检验

大鸡腿同学
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全之CSRF攻击
yleave的博客
07-03 876
个人博客 文章目录几种常见的 CSRF 攻击:1. GET 类型的 CSRF 攻击2. POST 类型的 CSRF 攻击3. 链接类型的 CSRFCSRF 特点防护策略同源检测几种 Referer 策略CSRF TokenCookie 的 SameSite 属性REF CSRF(Cross-site Request Forgery),跨站请求伪造攻击,简单来说就是攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送请求,并利用受害者在被攻击网站中获取的用户凭证,达到冒充受害者的目的,并使用受害
简学-CSRF 攻击
码农米格的博客
04-01 171
CSRF(Cross-site Request Forgery 跨站请求伪造) 攻击来源:CSRF通过伪装来自受信任用户的请求来利用受信任的网站。是web中用户身份认证的一个漏洞。 攻击原理:攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如:发邮件、发消息、甚至财产操作:转账、购买商品等)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞 防御手段: 1、检测HTTP报文头部字段Referer。Refer
防止CSRF攻击三种方法
key_3_feng的博客
02-23 3052
如何防止 CSRF 攻击,具体来讲主要有三种方式:充分利用好 Cookie 的 SameSite 属性、验证请求的来源站点和使用 CSRF Token。这三种方式需要合理搭配使用,这样才可以有效地防止 CSRF 攻击
CSRF 攻击的防范措施
程序员徐师兄的博客
07-13 2875
CSRF 攻击是一种常见的 Web 攻击,可以通过利用用户已登录的身份,向目标网站发送恶意请求,从而实现攻击目的。为了避免 CSRF 攻击,开发者需要采取一些防范措施,例如随机令牌、Referer 校验和 SameSite Cookie 等。建议采用多种防范措施,以增强 Web 应用程序的安全性。
CSRF防御方案
hdwlwang的博客
04-24 4367
我们也可以用自定义HTTP头的方法来防御CSRF攻击,因为虽然浏览器会阻止向外站发送自定义的HTTP头,但是允许向本站通过XMLHttpRequest的方式发送自定义HTTP头。比如,prototype.js这个JavaScript库就是使用这种方法,并且增加了 X-Requested-By头到XMLHttpRequest里面。
如何防止CSRF攻击
qq_40663520的博客
04-18 3731
如何防止CSRF攻击 CSRF不需要将恶意代码注入用户的页面,仅仅是利用服务器的漏洞和用户的登录状态来实施攻击。 要让服务器避免遭受到CSRF攻击,通常有一下几种途径: 充分利用好cookies的SameSite属性:黑客会利用用户的登录状态发起CSRF攻击,而Cookie正式浏览器和服务器之间维护登录状态的一个关键数据。要防止CSRF攻击,最后能实现从第三方站点发送请求时禁止Cookie的发送。 在Http响应头中,通过设置set-cookie时,可以带上SameSite选项,如下: (1)Stric
CSRF攻击与防御(写得非常好)
键上艺术家
12-15 2123
1、CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。 你可以这样来理解: 攻击者盗用了你的身份,以你的名义向服务器发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 举个例子:如下所说,其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,...
在Django中预防CSRF攻击的操作
09-17
在Django框架中,预防CSRF(跨站请求伪造)攻击是确保Web应用安全性的重要环节。CSRF攻击是一种恶意利用用户已登录的身份进行非法操作的网络攻击方式,它通过伪装成用户来执行非用户意愿的操作,例如修改用户资料、...
前端安全:如何防止CSRF攻击
02-24
在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
浅谈CSRF攻击方式
03-09
### 浅谈CSRF攻击方式 #### 一、CSRF是什么? CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络攻击手段,它利用用户在浏览器中保存的有效凭证(如Cookie等),通过伪装成受害者的身份对目标...
CSRF攻击与防御,Web安全的第一防线
01-27
CSRF(跨站请求伪造)攻击是Web安全领域的一个重要话题,它允许攻击者通过诱使用户在不知情的情况下执行非预期的操作来滥用用户在某个网站上的权限。...同时,定期进行安全审计和漏洞扫描是预防CSRF攻击的关键步骤。
怎么防止跨站请求伪造攻击CSRF)?
dzqxwzoe的博客
02-24 1494
没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。下面用一个银行网站的转账功能,说明攻击原理。
WEB安全入门:如何防止 CSRF 攻击
AzulSystems的博客
02-19 1444
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。
网络攻击——CSRF攻击
PUIWAH的博客
03-24 1308
CSRF攻击 CSRF全称是跨站请求伪造(cross site request forgery),CSRF伪装受信任用户,向第三方平台发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。 一个典型的CSRF攻击有着如下的流程: 受害者登录 a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了 b.com。 b.com 向 a.com ...
跨站请求伪造-CSRF防护方法
hjjhce的博客
08-18 762
跨站请求伪造-CSRF防护方法                               CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 1 CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中We
如何防止CSRF漏洞
zyn8823533的博客
02-14 1004
CSRF (Cross-site request forgery) 漏洞是一种常见的网络安全漏洞,攻击者利用这种漏洞可以在用户不知情的情况下冒充用户发起恶意请求。使用 CSRF token:在每个表单中添加一个唯一的 CSRF token,确保表单提交的数据是合法的。限制敏感操作:对于涉及敏感操作的请求,需要使用二次确认或者输入密码等方式,确保用户的操作是合法的。使用验证码:对于一些敏感的操作,可以要求用户输入验证码,确保用户的操作是人工操作。及时更新网站补丁:及时更新网站补丁,确保网站的安全性。
【 安全】什么是CSRF攻击?如何避免?开发的时候怎么预防
最新发布
m0_59598029的博客
03-19 2037
CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网站的恶意利用,也被称为 one-click attack或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF跨站点请求伪造(Cross—Site Request Forgery) 跟XSS攻击一样,存在巨大的危害性。
什么是CSRF攻击,如何防范CSRF攻击
weixin_47450807的博客
03-02 6916
什么是CSRF攻击,如何防范CSRF攻击
csrf攻击原理和预防
07-29
预防CSRF攻击的方法有以下几种: 1. 验证来源:服务器端验证请求的来源是否合法,可以通过检查Referer头或使用CSRF Token来实现。Referer头验证可防止一部分攻击,但可能存在被伪造的风险;而CSRF Token是一种随机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值