CSRF攻击防御方法

最新推荐文章于 2024-04-02 16:50:51 发布
最新推荐文章于 2024-04-02 16:50:51 发布
阅读量2.5k 收藏 6
点赞数 5
分类专栏: 基础 文章标签: java ajax 安全 js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45151795/article/details/105715052
版权

 

目前防御 CSRF 攻击主要有三种策略:

 

1、 验证 HTTP Referer 字段;

 

根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。对于每一个请求验证其 Referer 值

 

 

2、在请求地址中添加 token 并验证;

 

可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。

 

这种方法要比检查 Referer 要安全一些,token 可以在用户登陆后产生并放于 session 之中,然后在每次请求时把 token 从 session 中拿出,与请求中的 token 进行比对。

 

对于 GET 请求,token 将附在请求地址之后,这样 URL 就变成 http://www.wuliaokankan.cn?csrftoken=tokenvalue。

 

而对于 POST 请求来说,要在 form 的最后加上 <input type=”hidden” name=”csrftoken” value=”tokenvalue”/>,这样就把 token 以参数的形式加入请求了。但是,在一个网站中,可以接受请求的地方非常多,要对于每一个请求都加上 token 是很麻烦的,并且很容易漏掉,通常使用的方法就是在每次页面加载时,使用 javascript 遍历整个 dom 树&#

最低0.47元/天 解锁文章
段远山
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
深入理解web安全攻防策略
Candour_0的博客
02-19 388
深入理解web安全攻防策略
XSS及CSRF攻击防御
weixin_43613849的博客
05-13 539
一、概念 XSS攻击全称:跨站脚本攻击(Cross Site Scripting); CSRF(Cross-site request forgery)跨站请求 二、XSS 1、什么是 XSS ? XSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全
什么是CSRF攻击?如何进行有效的防护
最新发布
HoewDec的博客
04-02 815
漏洞扫描服务(Vulnerability Scan Service)集Web漏洞扫描、操作系统漏洞扫描、资产内容合规检测、配置基线扫描、弱密码检测五大核心功能,自动发现网站或服务器在网络中的安全风险,为云上业务提供多维度的安全检测服务,满足合规要求,让安全弱点无所遁形。但是如果本域下有容易被利用的功能,比如可以发图和链接的论坛和评论区,攻击可以直接在本域下进行,而且这种攻击更加危险。涵盖多种类型资产扫描,支持云内外网站和主机扫描,支持内网扫描、智能关联各资产之间的联系,自动发现资产指纹信息,避免扫描盲区。
csrf防护机制
凉茶铺的博客
07-17 2010
CSRF(Cross-siterequestforgery),中文名称跨站请求伪造你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括个人隐私泄露以及财产安全CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如。...
CSRF攻击
aabbcc456aa的专栏
12-01 1603
CSRF攻击  目录  1 CSRF攻击简介 1  1.1 什么是CSRF 1  1.2 CSRF可以做什么 1  1.3 CSRF漏洞现状 1  2 CSRF攻击原理 1  2.1 CSRF攻击原理 1  2.2 CSRF攻击实例 2  2.3 CSRF攻击对象 3  3 CSRF防御策略 3  3.1 验证HTTP REFERER字段 3  3.2 请求中添
CSRF攻击防御策略
Java
06-19 1030
CSRF攻击 目录 1 CSRF攻击简介 1 1.1 什么是CSRF 1 1.2 CSRF可以做什么 1 1.3 CSRF漏洞现状 1 2 CSRF攻击原理 1 2.1 CSRF攻击原理 1 2.2 CSRF攻击实例 2 2.3 CSRF攻击对象 3 3 CSRF防御策略 3 3.1 验证HTTP REFERER字段 3 3.2 请求中添加TOKEN 4 3...
Python Django框架防御CSRF攻击方法分析
09-18
下面我们将深入探讨Django如何防御CSRF攻击,以及如何配置和使用这些防御策略。 首先,我们需要了解Django防御CSRF攻击的基本原理: 1. **生成CSRF令牌**:当Django渲染HTML模板时,它会在每个需要防护的POST表单...
CSRF攻击防御
02-26
这时,该转帐请求的Referer值就会是转账按钮所在的页面的URL,通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行
Flask模拟实现CSRF攻击方法
09-20
# Flask 模拟实现 CSRF 攻击方法详解 CSRF(Cross Site Request Forgery,跨站请求伪造)是一种网络攻击手段,它利用了用户已经登录并持有有效会话(如 Cookie)的情况,使得攻击者可以在不知情的情况下,通过诱使...
CSRF攻击防御(写得非常好)
a378113472的博客
04-14 764
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞...
如何防止CSRF攻击
qq_40663520的博客
04-18 3719
如何防止CSRF攻击 CSRF不需要将恶意代码注入用户的页面,仅仅是利用服务器的漏洞和用户的登录状态来实施攻击。 要让服务器避免遭受到CSRF攻击,通常有一下几种途径: 充分利用好cookies的SameSite属性:黑客会利用用户的登录状态发起CSRF攻击,而Cookie正式浏览器和服务器之间维护登录状态的一个关键数据。要防止CSRF攻击,最后能实现从第三方站点发送请求时禁止Cookie的发送。 在Http响应头中,通过设置set-cookie时,可以带上SameSite选项,如下: (1)Stric
CSRF攻击防御措施
zhi_Miss的博客
05-07 4837
CSRF,跨站请求伪造,简单来说是盗用用户的身份,以用户的身份发送恶意请求,比如以用户的身份进行银行转账等。 原理:用户登录信任网站A,并生成本地cookie,在没有登出A的情况下,访问了危险网站B,B网站中要求访问第三方站点,发出request请求,浏览器带着A产生的cookie访问。 防御措施: a.在请求地址中添加token并验证 在请求中放入攻击者不能伪造的信息,并且该信息不在co
前端安全系列之二:如何防止CSRF攻击
weixin_34416754的博客
10-12 362
背景 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端...
如何防御CSRF攻击
tq1086的博客
12-28 767
http://tommwq.tech/blog/2020/12/28/294 1会话和cookie 会话(session)这一术语通常有两重含义。首先,会话表示客户端和服务器端之间的一系列交互。一次交互可以理解为一次请求-应答过程。在这一系列交互过程中,往往需要保存一些和交互有关的信息(比如登录信息),这些信息有时叫做通讯上下文(context)。会话也可以用来指代通讯上下文。出于安全性和性能的考虑,通讯上下文通常保存在服务器端。为了让服务器可以同时服务多个客户端,区分不同客户端的上下文,服务器为每个.
csrf漏洞防御方案_CSRF 漏洞原理详解及防御方法
weixin_35474374的博客
01-14 2920
跨站请求伪造:攻击者可以劫持其他用户进行的一些请求,利用用户身份进行恶意操作。例如:请求http://x.com/del.php?id=1是一个删除ID为1的账号,但是只有管理员才可以操作,如果攻击者把这个页面嵌套到其他网站中“http://x.com/del.php?id=1”> 再把这个页面发送给管理员,只要管理员打开这个页面,同时浏览器也会利用当前登陆的这个管理账号权限发出:http:...
防御CSRF的第四种方法
weixin_34132768的博客
07-30 528
2019独角兽企业重金招聘Python工程师标准>>> ...
CSRF,SSRF原理,防御
2301_77315080的博客
09-06 380
跨站请求伪造(英语: Cross-site request forgery),也被称为one- click attack或者sessionriding,通常缩写为CSRF或者XSRF;是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
防御csrf攻击策略有哪些
06-08
CSRF攻击是一种常见的Web应用程序安全漏洞,为了防御这种攻击,可以采取以下策略: 1. 验证HTTP Referer头:Web应用程序可以检查HTTP请求中的Referer头,确保请求来自于合法的来源,但这种方法并不完全可靠,因为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值