CSRF原理及解决方案

最新推荐文章于 2024-05-01 19:30:15 发布
最新推荐文章于 2024-05-01 19:30:15 发布
阅读量574 收藏
点赞数
分类专栏: 学习 文章标签: csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44422272/article/details/107880468
版权

概念CSRF即Cross Site Request Forgy,跨站请求伪造。

原理

  1. 用户浏览并登陆(存在CSRF漏洞的)信任网站A
  2. 网站A验证通过,给用户返回一个cookie
  3. 用户在未登出的情况下(cookie未过期)登陆了恶意网站B
  4. 网站B带上网站A的身份(cookie)对网站A发起请求(修改你的密码,购物,转账,偷窥你的个人信息等)
  5. A并不知道请求是B发送的,会处理该恶意请求。
    通过A网站打开的B网站可以在A网站未退出的情况下携带A网站的cookie,header等信息进行请求。但不能获取cookie等内容。

防御CSRF的策略

详情查看

同源检查

验证origin字段:浏览器会自动带上该字段,服务端可以通过该字段确定请求的来源域名。IE11在cors请求中不会添加该字段,通过302重定向的也不会携带。
验证referer字段:浏览器会自动带上该字段,该字段记录了http请求的来源地址。由浏览器提供,依靠浏览器来保障,部分情况下攻击者可以修改。

在请求地址中添加 token 并验证
将浏览器提供的token信息添加在请求参数中,后端验证token。(第三方网站不能获取header中的具体信息)
双重

最低0.47元/天 解锁文章
Code小张
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是 CSRF原理及其解决方式
bluemoon_0的博客
02-19 1332
什么是 CSRF原理及其解决方式
解决django前后端分离csrf验证的问题
09-19
在前后端分离的Web开发模式下,Django的CSRF...在实施这些解决方案时,一定要测试所有涉及CSRF保护的接口,确保它们在实际操作中能正常工作。同时,理解CSRF的工作原理和潜在威胁,对于维护应用的安全性至关重要。
CSRF漏洞原理攻击与防御(非常细)
m0_61869253的博客
10-12 3201
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
Web安全-检测-CSRF
AG9GgG的博客
10-14 1810
背景知识 跨站域请求伪造(CSRF,Cross Site Request Forgery)是一种网络攻击方式,它在2007年曾被列为互联网20大安全隐患之一。 网站是通过cookie来识别用户的,当用户成功进行身份验证之后,浏览器就会得到一个标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问这个网站就会带上这个cookie。如果这期间浏览器被人控制着请求了这个网站的url,可能就会执...
2024年网络安全最全WEB常见漏洞之CSRF(基础原理篇)
最新发布
2401_84264096的博客
05-01 573
Cookie包含隐私(比如存款总额),这些信息就会泄露。更可怕的是,COokie往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户。场景:A网站是一家银行,用户登录以后,又去浏览其他网站,如果其他网站可以读取A网站的Cookie,会发生什么?为了保证用户信息的安全,防止恶意的网站窃取数据。虽然这些限制是必要的的,但是有些合理的用途也受到影响。例如:同一个站点的不同域名不能共享COOKIE;Cookie两个重要属性。
CSRF(跨站请求伪造)详解
Y22Lee的博客
04-10 1603
CSRF全称Cross-Site Request Forgery,也被称为 one-click attack 或者 session riding,即跨站请求伪造攻击。当发现网站存在CSRF漏洞时,攻击者会利用网站源码,构建一个存有恶意请求的网站或者是链接,引诱受害者访问,那么当受害者在访问攻击者伪造的网站,同时,又在访问攻击者攻击的目标网站且没有关闭会话,那么攻击者就成功完成了CSRF攻击!攻击者可以发送请求包,比如:修改邮箱的,上传文件的等等。
前端安全之 CSRF 攻击原理和防护方法
weixin_59124055的博客
06-13 6021
CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理和防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全面理解需要系统的学习 Cookie,前端跨域,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击和防护方法是前端进阶要去,我也希望大家
Django进阶之CSRF解决
09-20
以上就是在Django中处理CSRF问题的详细方法,包括全局和局部配置、CSRF令牌的工作原理,以及在AJAX请求中的应用。理解并正确实施这些策略,能有效增强你的Web应用安全性,防止跨站请求伪造攻击。
PHP开发中常见的安全问题详解和解决方法(如Sql注入、CSRF、Xss、CC等)
10-26
主要介绍了PHP开发中常见的安全问题详解和解决方法,详细介绍了例如Sql注入、CSRF、Xss、CC等攻击手段的背景知识以及解决方法,需要的朋友可以参考下
解决Django提交表单报错:CSRF token missing or incorrect的问题
09-17
解决"CSRF token missing or incorrect"问题的方法: 1. **检查中间件配置**:确保`settings.py`中的`MIDDLEWARE`列表中包含了`CsrfViewMiddleware`。 2. **添加CSRF令牌**:确保每个POST表单都包含`{% csrf_token...
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat 防止跨站请求伪造(CSRF)机制浅析 ...在本文中,我们讨论了 CSRF 攻击的原理和防止方法,并介绍了 Tomcat 中的 CSRF Prevention Filter 工具。通过使用该工具,开发者可以保护他们的 Web 应用免受 CSRF 攻击。
Web系统常见安全漏洞介绍及解决方案-CSRF攻击
java后端开发的博客,不仅仅是后端开发
07-05 2262
CSRF跨站请求伪造,全称Cross-site request forgery,是指利用受害者尚未失效的身份认证信息操作他们的账户以进行非法操作。
​​​​一文彻底搞懂 跨域 同源策略 csrf攻击原理
lifan_zuishuai的博客
06-26 1902
​​​​一文彻底搞懂 跨域 同源策略 csrf攻击原理
django种表单post出现CSRF verification failed( CSRF验证失败 ) 的两种解决方案
热门推荐
sollor525的专栏
10-30 1万+
django种表单post出现CSRF verification failed( CSRF验证失败 ) 的两种解决方案
CSRF解决方案 (跨网站请求伪造攻击)
futureXgm的博客
10-12 3543
区别: XSS攻击站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站.攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,发表评论,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 攻击方法: CSRF的主要手法是利用跨站请求,在用户不知情的情况下,以用户的身份伪造请求。其核...
CSRF攻击解决方案--CSRFGuard使用文档
逐鹿人生的博客
06-05 4128
背景:公司项目使用fortyfy测试出CSRF相关的BUG,目前尝试使用CSRFGuard来解决CSRF攻击。 一、CSRF攻击: CSRF是“跨站请求伪造”,其操作方法是借助用户浏览器内的验证过的cookie,在用户点击链接时实现链接跳转,并携带用户的cookie,实现一些用户实际并没有执行的操作。 类似的BUG为:XSS“跨站脚本攻击”,即恶意让用户浏览器执行一些脚本,恶意获取用户coo...
教你轻松解决CSRF跨站请求伪造攻击
华为云官方博客
04-21 4738
CSRF(Cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
Csrf攻击的解决思路
阿星的博客
03-13 726
1.什么是Csrf攻击 关于什么是csrf攻击,这里不多赘述,可以参考下面的文章,写的不错。 浅谈CSRF攻击方式,今天这里主要记录如何防御csrf攻击。 2.防御csrf攻击 这里csrf攻击的防御采用以下方案:在用户发送请求之前,先通过ajax请求访问后台,生成一个随机数作为一个token,并将这个token保存在session,同时返回到前台页面,然后前台页面将这个token放在请求中,发送...
CSRF攻击原理解决方法
07-24
CSRF(Cross-Site Request Forgery)攻击是一种常见的网络安全漏洞,它利用了网站对用户请求的信任,通过伪造用户的请求来执行恶意操作。 攻击原理: 1. 用户登录受信任的网站A,并在本地生成了相应的会话Cookie。 2. 攻击者诱使用户访问恶意网站B,该网站中包含了针对网站A的恶意请求。 3. 网站B的恶意请求会自动触发用户浏览器发送一个针对网站A的请求,由于用户在访问网站A时已经登录,并且浏览器会自动携带相应的会话Cookie。 4. 网站A接收到请求后,会认为是用户自己的合法请求,然后执行相应的操作,比如修改密码、发起转账等。 解决方法: 1. 验证码(CAPTCHA):引入验证码可以阻止CSRF攻击,因为攻击者无法获取到验证码的内容,无法伪造合法请求。 2. 同源检测:在服务器端对请求进行来源验证,只允许来自同一域名下的请求通过。可以通过检查Referer字段或者使用CSRF Token来实现。 3. CSRF Token:在每个表单或者请求中引入一个随机生成的Token,并在服务器端校验,如果请求中没有正确的Token,则拒绝执行操作。 4. 阻止第三方网站请求:可以通过设置HTTP头部的SameSite属性为Strict或者Lax来限制第三方网站对Cookie的访问。 5. 双重Cookie验证:除了验证会话Cookie,还可以在请求中包含一个随机生成的Token,并在服务器端进行验证。 以上是一些常见的CSRF攻击的解决方法,但并不是绝对安全的,开发者在设计和开发过程中还需要综合考虑其他安全措施来确保网站的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值