http referer 验证防御方法_技术干货 | CSRF攻击原理以及防御

最新推荐文章于 2025-02-24 11:45:41 发布
最新推荐文章于 2025-02-24 11:45:41 发布
阅读量2k 收藏 4
点赞数 1
文章标签: http referer 验证防御方法 token为什么能防止csrf

d658fe6c6c106dfe295b6cb0fca388e1.gif

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

例子

6f05a903ae94dc1b1973570d15ecb25d.png

CSRF攻击原理图

CSRF攻击攻击原理及过程如下:

1. 用户打开浏览器,访问受信任银行网站,输入用户名和密码请求登录网站; 2.在用户信息通过验证后,银行网站产生Cookie信息并返回给浏览器,此时用户登录网站成功,可以正常发送请求到网站; 3. 用户未退出银行网站之前,在同一浏览器中,打开一个TAB页访问其他网站B 4. 这时候网站B 已被黑客注入诱导信息,加入是一张图片,图片地址指向 src=”http://bank.example/withdraw?account=bob&amount=1000000&for=黑客 点击之后转账给黑客这个账户 5. 浏览器在接收到这些攻击性代码请求后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,根据用户的Cookie信息以C的权限处理该请求,导致来自黑客请求恶意代码被执行。

这是原理, 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。

如何防御CSRF攻击

1、验证 HTTP Referer 字段

释:referer : 来路;提交方;来源网址
根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。

6cb04646fb7d22a45a4853348eb979f2.png

验证referer

也就是说,服务器会验证客户端的请求来源,如果本网站请求的则响应,否则不响应。

但是即使这样,验证 HTTP Referer 字段 这种方式也存在安全隐患

  1. 对于某些浏览器,比如 IE6 或 FF2,目前已经有一些方法可以篡改 Referer 值

  2. 用户自己可以设置浏览器使其在发送请求时不再提供 Referer

2.加验证码验证

但这种方式涉及到页面交互,在通常情况下,验证码能很好遏制CSRF攻击。但是出于用户体验考虑,网站不能给所有的操作都加上验证码。因此验证码只能作为一种辅助手段,不能作为主要解决方案。

3.使用 token (Anti CSRF Token)

可以理解是防伪

例子:

  1. 用户访问某个表单页面。

  2. 服务端生成一个Token,放在用户的Session中,或者浏览器的Cookie中。

  3. 在页面表单附带上Token参数。

  4. 用户提交请求后, 服务端验证表单中的Token是否与用户Session(或Cookies)中的Token一致,一致为合法请求,不是则非法请求。

bf3922d16899c1016778a652e9b8f64e.png

token

这个Token的值必须是随机的。由于Token的存在,攻击者无法再构造一个带有合法Token的请求实施CSRF攻击。另外使用Token时应注意Token的保密性,尽量把敏感操作由GET改为POST,以form或AJAX形式提交,避免Token泄露。

总结

通常使用Anti CSRF Token来防御CSRF攻击,同时要注意Token的保密性和随机性。

2d3f7d3b27e35a52f82f1ed3d4bd2153.png

35ca9b19143a3d8b510561e2a02ccf41.gif END

|  More ·精彩回顾 |

乡村网络安全意识培训专题会议成功召开

2020年需要关注的七个新增/热门网络安全认证

教育部:网络安全等16个领域纳入国家安全教育,大中小学全覆盖

通过验证Referer解决CSRF安全防御问题
向南
09-26 5609
一、背景 JAVAWEB 类项目处于客户验收阶段,在安全扫描处出现 CSRF 问题,通过多个博客中解决思路都无法解决。后来通过同事提醒 可以试试判断 Referer页面来源参数,最终使用该方法解决问题。 二、环境 服务器:Linux 前端:Angular 后端:Springboot Java 三、安全证书 四、解决方法 后端拦截器判断访问来源,其它地方不用修改。 @...
关于跨域与 csrf 的那些事
dengdongxia的博客
09-03 2025
前言   在这段时间,部门前辈分享了不少干货。我学到了不少内容,并对其进行简单整理,以便更好地转化为自己的知识。 知识探讨部分 关于跨域 产生 协议,域名,端口三者其中存在不同都会形成跨域;故,当协议,端口,域名三者均相同时,浏览器就会认为是同源,允许加载该资源,否则为不同源。 跨域存在原因:浏览器的同源限制策略 请求:客户端(www.a.com) -》 服务端(www.baidu.com)...
跨站请求伪造CSRF防护方法
jijithin
08-22 940
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 一、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 ...
开发安全典型漏洞之CSRF攻击及防护,从零基础到精通,收藏这篇就够了!
最新发布
yy1715713348的博客
02-24 548
CSRF (Cross Site Request Forgery)中文名称为跨站请求伪造,攻击者诱导用户点击特定链接触发恶意请求,服务端没有校验请求是否来自授信站点,误将恶意请求视为合法请求并成功执行。漏洞充分利用HTTP协议的无状态特性,即登录态Cookie信息是浏览器默认自动携带的,通过浏览器发送HTTP请求时,浏览器将携带该域名所属Cookie信息一并发送到服务器。与XSS相比,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来攻击受信任的网站。
验证HTTP Referer字段
紫天专栏
06-25 1万+
1 、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。   1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未
CSRF攻击防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
CSRF简单理解---HTTP Referer字段验证(Java实现)
澪月
02-08 1万+
CSRF攻击简单来说就是: 1.你可以通过A网站发送请求“转100块给小明”。 2.然后你碰巧又上了X网站,X的某链接藏着一条操作”转100快给小芳”。 3.当你点击X网站的某个链接时,会利用你在A网站的session信息,发送请求”转100快给小芳”。 所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。 referer验证原理简单来说就是: 比对HTTP请求发送的网站(re...
HTTP referer
冷静地思考
12-18 9007
referer, 或 HTTP referer, 是HTTP表头的一个字段,用来表示从哪儿连结到目前的网页,采用的格式是URL。换句话说,借着 referer ,目前的网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。而 dereferer 则是将 referer 资讯剥离,所以网站将无法识别访客从何而来。Referer的正确英语拼法是referrer。由于早期HTTP规范的拼
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3461
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
前端面试题干货汇总(超详细)
王俊的博客
07-11 4010
前端面试干货汇总,包括HTTP、JS、CSS等
自用护w面试题
Zephyr_Misaka的博客
06-01 1163
21-FTP 看是否存在匿名访问22-SSH 看是否存在弱口令25-SMTP80-HTTP 常见web漏洞443-HTTPS openSSl心脏出血漏洞445-smb ms08-067、 ms17-0101433-mssql 弱口令1521-oracle, 弱口令3306-mysql 数据库的默认端口3389-windows远程桌面 弱口令7001-weblogic的默认端口 8080-tomcat漏洞应用层:为应用程序提供网络服务表示层:数据格式化、加密、解密会话层:建立、管理和维护会话连接传输层:建立
史上最全网络安全面试题总结
03-17 2万+
新的一年,难免有不少小伙伴面临跳槽或者找工作,本文总结了常见的安全岗位面试题,方便各位复习。祝各位事业顺利,财运亨通。 php爆绝对路径方法? 单引号引起数据库报错 访问错误参数或错误路径 探针类文件如phpinfo 扫描开发未删除的测试文件 google hacking phpmyadmin报路径:/phpmyadmin/libraries/lect_lang.lib.php 利用漏洞读取配置文件找路径 恶意使用网站功能,如本地图片读取功能读取不存在图片,上传点上传不能正常导入的文件 你常用的渗
校验Referer头,防范CSRF(跨站请求伪造)攻击的拦截器
knight_black_bob的专栏
12-29 4190
com.opensymphony.xwork2.ActionInvocation; import com.opensymphony.xwork2.interceptor.AbstractInterceptor; import com.trace.web.utils.Constants; /** * 对管理员操作,校验Referer头,防范CSRF(跨站请求伪造)攻击的拦截器 * @author admin */ public class AuthInterceptor extend
2022-09-07 请求头referer拦截器防止csrf攻击
Young的博客
09-07 1973
工作中用到的对csrf攻击的简单防范方法
关于防盗链的方法HTTPreferer检查
weixin_74085863的博客
11-15 1088
本文专注讲解了防盗链的referer实现,快来学习吧
CSRF攻击防御---验证HTTP Referer
dhweicheng的博客
08-09 2万+
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,会带上Referer,通过验证Referer,可以判断请求的合法性,如果Referer是其他网站的话,就有可能是CSRF攻击,则拒绝该请求。 /** * @author Cheng.Wei * @ClassName ReferrerInterceptor * @Description CSRF攻击处理
http请求中的referer
迟到的程序猿
08-05 8014
 HTTP referer是一个HTTP请求头,名字是“referer”,当浏览器向Web服务器发送请求的时候,一般会带上referer,告诉服务器是从哪个页面链接过来的。服务器可以获得referer用于处理,比如统计每天有都少访问是从搜索引擎链接过来的。 referer <a href="referer2.jsp">链接到referer2.jsp  
跨站请求伪造学习笔记
0xdawn的博客
01-30 449
0x00 前言 跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 0x0...
http referer 验证防御方法_渗透测试 跨站攻击防御与安全检测手法剖析
weixin_39614521的博客
11-29 665
上一节讲到了渗透测试中xss跨站攻击检测方法和防护,这一节也是关于跨站攻击的另一个手法CSRF,很多客户找到我们想要了解更多的跨站攻击检测方法以及防御此类攻击的办法,想要让网站的安全性更加坚固,对此提醒大家渗透测试网站必须要拿到授权才能测试哦!3.3.1. 简介CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Sessio...
csrf攻击原理与解决方法_CSRF攻击防御原理
02-23
### CSRF攻击工作原理 CSRF(跨站请求伪造)攻击利用了Web应用的隐式身份验证机制[^4]。当用户登录到一个受信任的应用程序并保持会话活跃状态时,攻击者可以诱导受害者访问另一个恶意站点。这个恶意站点能够自动构建并向目标应用程序发送HTTP请求。由于这些请求来自已经认证过的用户的浏览器,在服务器看来它们似乎是合法的操作。 具体来说,即使重要操作被限定为仅能通过`POST`方法执行,这并不能阻止CSRF攻击的发生;同样地,单纯依赖于HTTPS协议也不能完全抵御此类威胁[^2]。 ### 防御措施 为了有效地预防CSRF攻击,推荐实施如下几种策略: #### 使用随机令牌 (CSRF Token) 一种广泛接受的方法是在每次用户登录之后生成唯一的随机字符串作为csrf_token,并将其嵌入至页面中的隐藏字段内或是AJAX调用的数据包里。每当客户端发出敏感性质的请求时——特别是那些涉及数据修改或删除的动作——都应附带此token一同传递给服务端进行校验。如果提交过来的token与预期不符,则拒绝处理相应的请求[^5]。 ```html <form action="/submit" method="post"> <!-- 其他表单项 --> <input type="hidden" name="csrf_token" value="{{ csrf_token }}"> </form> ``` #### 双重Cookie验证 另一种有效的手段称为双重cookie保护模式。在这种情况下,不仅要在HTML文档中加入上述提到的那种一次性使用的csrf_token,还需要另外设置一个同名但是持久化的HttpOnly属性关闭版本存放在用户的Cookies集合里面。如此一来,任何试图模仿真实用户的第三方脚本都无法轻易获取到正确的Token组合来进行非法活动。 ```javascript // 假设前端框架提供了便捷函数用于读取cookies const csrftoken = getCookie('csrftoken'); fetch('/api/endpoint', { headers: { 'X-CSRF-Token': csrftoken }, }); ``` 除了以上两种主要的技术外,还可以考虑其他辅助性的安全特性比如检查Referer头信息、配置SameSite Cookies等选项来进一步加固系统的整体安全性[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值