浏览器安全之CSRF跨站请求伪造

于 2023-05-03 17:23:58 发布
阅读量538 收藏
点赞数
分类专栏: Chrome与HTTP 文章标签: 安全 csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40119412/article/details/130471692
版权

基本概念

跨站请求伪造(Cross-site request forgery)简称CSRF,尽管与跨站脚本漏洞名称相近,但它与跨站脚本漏洞不同。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。

CSRF和反射型XSS的主要区别是:反射型XSS的目的是在客户端执行脚本,CSRF的目的是在Web应用中执行操作。

CSRF跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求,包括该用户的会话Cookie和其他认证信息,发送到一个存在漏洞的Web应用程序,而这些请求会被应用程序认为是用户的合法请求。

CSRF 攻击类型

  • GET 类型的 CSRF 攻击,比如在网站中的一个 img 标签里构建一个请求,当用户打开这个网站的时候就会自动发起提交。
  • POST 类型的 CSRF 攻击,比如构建一个表单,然后隐藏它,当用户进入页面时,自动提交这个表单。
  • 链接类型的 CSRF 攻击,比如在 a 标签的 href 属性里构建一个请求,然后诱导用户去点击。

CSRF攻击防御

基本思路是,避免透露信息给攻击者,以增加攻击者伪造请求的难度,或是增加对请求的验证强度。

1.避免在URL中明文显示特定操作的参数内容
2.验证HTTP头部Referer信息
3.在请求地址中添加token并验证
4.在HTTP头中自定义属性并验证
5.要求用户提交额外的验证信息

HaanLen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python 爬虫浏览器伪装技术
Baihu292的博客
04-26 1315
1)请求(客户端->服务端[request])
干货!!学习 CSRF 跨站请求伪造,看这一篇就够了
喜欢Python编程的程序员柚柚呀
06-21 636
才行。其实很简单,比如我们使用 QQ,看看 QQ zone,突然蹦出个包含中奖或者问卷调查链接的聊天窗口(或者是。。。),这个腾讯做了防范,但是我们收到封邮件包含此内容,很多用户会选择去点击在网上找了张图片很能说明这个过程。
前端安全CSRF攻击(跨站请求伪造
热门推荐
业余丰富各种技术栈
08-19 2万+
前端安全CSRF,日常防范CSRF攻击的几种方式
CSRF跨站请求伪造的GET情况和POST情况攻击和防御详解
Zeker62的博客
08-14 4276
CSRF 英文名:cross-site request forgery 叫做跨站请求伪造 CSRF不是很流行,但是具有很高的危险性,相比于XSS更加难以防范。 CSRF攻击效果:攻击者盗用身份,以被害者的姓名执行某些非法操作。比如使用账户发邮件、获取敏感信息,盗取银行账户。 CSRF攻击原理 当打开某个网站的时候,可以在网站上 进行一些操作,比如发邮件发消息 当结束会话的时候,这个网站可能会让你重新登录,或者提示身份过期,这是这个web在防范CSRF攻击的手段。 CSRF攻击是建立在会话之上的,比如.
CSRF跨站请求伪造
qq_51478862的博客
11-19 3255
一、CSRF漏洞原理 我们不能挟持用户,但是我们可以挟持用户浏览器发送任意的请求。某些html标签是可以发送HTTP GET类型的请求的。 例如<img>标签:<img src="http://www.baidu.com" /> 浏览器渲染img标签的时候,并不知道img标签中src属性的值,到底是不是一个图片,浏览器做的就是根据src中的链接,发起一个HTTP GET请求,并且携带上当前浏览器在目标网站上的凭证,也就是cookies,获取返回结果以图片的形式渲染。根据这个特性,可
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。...在跨站请求伪造CSRF)攻击里面,攻击者通过用户浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器安全策略是允许当前页面
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
跨站请求伪造CSRF简介 第7章 Web应用安全 目标 Objectives 要求 了解跨站请求伪造CSRF的基本概念; 了解跨站请求伪造CSRF的攻击原理; 跨站请求伪造CSRF简介 一、跨站请求伪造CSRF简介 跨站请求伪造(Cross-site ...
爬虫精进(四) ------ 带参请求/伪装成真实浏览器
千喜
07-23 1540
一.通过Query String Parametres查看参数 请你使用浏览器打开QQ音乐官网,搜索周杰伦。然后打开检查面板里的Network,刷新这个页面。当然,你也可以点击这个链接直达: https://y.qq.com/portal/search.html#page=2&searchid=1&remoteplace=txt.yqq.top&t=song...
python伪造浏览器请求头_Python3 伪装浏览器的方法示例
weixin_39744512的博客
11-30 1244
一、伪装浏览器对于一些需要登录的网站,如果不是从浏览器发出的请求,则得不到响应。所以,我们需要将爬虫程序发出的请求伪装成浏览器正规军。具体实现:自定义网页请求报头。二、使用Fiddler查看请求和响应报头打开工具Fiddler,然后再浏览器访问“https://www.douban.com/”,在Fiddler左侧访问记录中,找到“200 HTTPS www.douban.com”这一条,点击查看...
一篇文章带你搞懂网络爬虫过程中伪装浏览器请求头常见字段
pdcfighting的博客
07-18 1578
点击上方“Python爬虫与数据挖掘”,进行关注回复“书籍”即可获赠Python从入门到进阶共10本电子书今日鸡汤天生我才必有用,千金散尽还复来。/1 前言/大家在学习网络爬虫的...
网络爬虫过程中伪装浏览器请求头常见字段
m0_55313512的博客
02-22 1142
爬虫、HTML
浏览器的伪装--撕开你最深处的伪装
heoor的博客
06-28 3039
最近有个项目要用IE来开发,从来没用过IE的我很自信(没进过IE的坑),然后开发的这几周经历了我最痛苦的一段时间。下面我整理一下最近遇到的坑:坑1、浏览器伪装:(伪装不止出现在ie中,其他浏览器也会偶尔伪装成ie)    代码里有一段判断浏览器类型的判断,主要是判断是否为ie浏览器,前人给我留下的代码是这样的/** * 判断浏览器类型 * @method isIE * @static * ...
Requests爬虫之伪装浏览器
ScapeD的博客
08-21 1万+
Requests库在发出请求时,会将自己的信息如实告诉给服务器,如果服务器设置了反爬虫,会导致Requests库返回错误,一般为400。我们通过伪装可绕过一般服务器的识别 通过设置header,将爬虫伪装成浏览器。 send_headers = { "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) App...
浏览器信息伪造
野原新之助
11-24 992
简述: 通过更改请求报文中的user-agent来达到伪造浏览器信息的目的。 user-agent:用户代理,也就是通过什么平台和软件来提交请求的。 题目链接:浏览器信息伪造 过程: 打开题目网站 点击链接,提示使用iphone查看 打开bp抓包 更改前(显示为使用Windows下的firefox浏览器进行访问): 改为要求的来源: iPhone手机2G网络: Mozilla/5...
flask中的csrf防御机制
FreeSpider
07-17 2051
csrf概念 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户请求来利用受信任的网站。与XSS攻击相比,CSRF攻击...
java 伪装成浏览器向 网站发起请求
XmlRequest的专栏
09-13 5205
package MgUtil.Util; import java.io.IOException;   import org.apache.commons.httpclient.HttpClient; import org.apache.commons.httpclient.HttpException; import org.apache.commons.httpclient
CSRF跨站请求伪造漏洞
最新发布
12-06
CSRF(Cross-site request forgery)跨站请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网站上设置陷阱,引诱用户点击链接或者访问页面,从而触发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值