CSRF防御

最新推荐文章于 2024-05-27 22:28:55 发布
最新推荐文章于 2024-05-27 22:28:55 发布
阅读量62 收藏
点赞数
文章标签: csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45711054/article/details/132664409
版权

CSRF防御:
1.验证HTTP Referer 字段:
根据http协议,在http头中有一个字段叫做Referer,它记录了该http请求的来源地址。
优点:简单易行,网站的普通开发人员不需要担心CSRF的漏洞,只需要在最后给所有安全敏感的请求统一增加一个拦截器来检查Referer的值就可以。
缺点:①每个浏览器对于Referer的具体实现可能有差别,并不能保证浏览器自身没有漏洞。对于某些老浏览器,目前已经有一些方法可以篡改Referer值。②Referer值会记录下用户的访问来源,用户可以设置浏览器发送请求时不再提供Referer。当正常访问时会因为没有Referer值而认为是CSRF攻击,拒绝合法用户的访问。
2.在请求地址中添加token并验证:
在请求中加入一个随机产生的token,并在服务端建立一个拦截器来验证这个token,如果请求中没有token或不正确,则拒绝该请求
优点:get方式的请求,token将附在请求地址之后,URL变成http://url?csrftoken=tokenvalue。而post方式的请求,要在form的最后加上,这样就把token以参数的形式加入请求了。
缺点:①每次的请求后加token,对于dom中所有的a和form标签加入token,但是对于在页面加载之后动态生成的html代码,这种方法就没有作用,还需要程序员在编码时手动添加token。②难以保证token本身的安全。黑客在一些支持用户自己发表内容的网站上,发表自己个人网站的地址。由于系统也会在这个地址后面加上token,黑客可以在自己的网站上得到这个token,并马上就可以发动CSRF攻击
3.在HTTP头中自定义属性并验证:
这种方法也是使用token并进行验证,和上一种方法不同的是,这里并不是把token以参数的形式置于http请求中,二是吧它放到http头中自定义的属性里,通过XMLHttpRequest这个类,可以一次性给所有该类请求加上csrftoken这个http头属性,并把token值放入其中。

夜雨清城丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CSRF防御.docx
12-11
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attacksession riding,缩写为:CSRFXSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的...
CSRF防御方案
hdwlwang的博客
04-24 3931
我们也可以用自定义HTTP头的方法来防御CSRF攻击,因为虽然浏览器会阻止向外站发送自定义的HTTP头,但是允许向本站通过XMLHttpRequest的方式发送自定义HTTP头。比如,prototype.js这个JavaScript库就是使用这种方法,并且增加了 X-Requested-By头到XMLHttpRequest里面。
csrf防御 java_防御CSRF攻击
weixin_35509069的博客
02-23 368
跨站请求伪造(CSRF)是一种安全漏洞,攻击者利用受害者的 session 来通过受害者的浏览器发出请求。攻击者通过受害者的浏览器发送请求,并伪造成是受害者自己发出的请求。建议你先熟悉CSRF,哪些是相关的攻击向量而哪些不是。我们建议从这里开始。很难直接区分哪些请求是安全的而哪些请求容易被CSRF攻击,这是因为没有对插件及未来扩展的明确规范。因为历史遗留原因,浏览器的插件及扩展放宽了信任规则,引入...
java csrf防御_前后端分离架构下CSRF防御机制
weixin_39594312的博客
03-04 466
背景1、什么是CSRF攻击?这里不再介绍CSRF,已经了解CSRF原理的同学可以直接跳到:“3、前后端分离下有何不同?”。不太了解的同学可以看这两篇对CSRF介绍比较详细的参考文章:如果来不及了解CSRF的原理,可以这么理解:有一个人发给你一个搞(mei)笑(nv)图片链接,你打开这个链接之后,便立刻收到了短信:你的银行里的钱已经转移到这个人的帐户了。2、有哪些防御方案?上面这个例子当然有点危言耸...
Spring Security CSRF防御&源码分析
Charge8的博客
01-14 3589
Spring Security CSRF防御&源码分析
csrf漏洞防御方案_绕过CSRF防御
weixin_33372672的博客
01-26 770
CSRF漏洞很容易就可以被发现并利用。一眼看去很多站点好像在这方面都做得不错:当你检查针对敏感操作的请求时,他们往往会实施CSRF保护。有时候可能是一个在请求主体中的CSRF token,也有可能是一个referer字段检测,或者有时是一个特殊的HTTP头字段或者cookie字段。但是CSRF防御不代表它就不可以被绕过。今天我们讨论一些我如何绕过CSRF防御措施的技术。所有的CSRF不管哪种CS...
绕过CSRF防御
weixin_50464560的博客
08-10 821
CSRF漏洞很容易就可以被发现并利用。一眼看去很多站点好像在这方面都做得不错:当你检查针对敏感操作的请求时,他们往往会实施CSRF保护。有时候可能是一个在请求主体中的CSRF token,也有可能是一个referer字段检测,或者有时是一个特殊的HTTP头字段或者cookie字段。 但是CSRF防御不代表它就不可以被绕过。今天我们讨论一些我如何绕过CSRF防御措施的技术。 所有的CSRF 不管哪种CSRF防御措施部署,你都可以先尝试如下两件事:点击劫持和更改请求方法。 点击劫持 在同一个功能端点利用点击劫
csrf防御】springboot项目如何防御csrf
run_boy_2022的博客
06-14 1076
CSRF(Cross-Site Request Forgery) ,通过单词简单理解就是跨站点请求伪造,用通俗简单点就是攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的操作1、用户打开浏览器访问受信任网站A,输入用户名和密码请求登录网站A;2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
csrf防御
superprintf的博客
09-07 152
两个点 xss和csrf xss客户体验好的防御方式:html实体化编码 xss数据插入到js代码中如何防御:js白名单 csrf的token插入位置:表单,cookie(不需要设置http-only) csrf使用json的表单如何利用:跨域 cors复杂请求 ...
SpringSecurity - CSRF 防御
TrustNature
10-19 803
SpringSecurity CSRF 防御,我们使用http.csrf.disable()暂时关闭掉了CSRF防御功能,但是这样是不安全的,那么怎么样才是正确的做法呢? 整体来说,就是两个思路: 生成 csrfToken 保存在 HttpSession 或者 Cookie 中。 请求到来时,从请求中提取出来 csrfToken,和保存的 csrfToken 做比较,进而判断出当前请求是否合...
基于JSP的Java Web项目的CSRF防御示例
01-07
1. 基于JSP的Java Web项目的CSRF防御示例 2. 使用Maven管理, 在Eclipse中导入, run as Server 方式运行
spring security中的csrf防御原理(跨域请求伪造)
08-25
主要介绍了spring security中的csrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍
10-16
对laravel的csrf 防御机制详解,及对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
CSRF 攻击
wanglf_clog的博客
05-21 546
CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击,是一种常见的网络攻击方式,它利用用户在已登录网站的凭证(如 Cookie、Session 等)向第三方网站发送非授权的请求。这种攻击之所以有效,是因为浏览器会自动携带用户在 A 网站的认证信息去访问 B 网站,如果 B 网站没有做好防护措施,就会误以为该请求是用户主动发起的并予以执行,从而可能执行恶意操作,如修改用户数据、进行非法转账等。
系统安全扫描扫出了:可能存在 CSRF 攻击怎么办
最新发布
io_123io_123的博客
05-27 225
系统安全扫描扫出了:可能存在 CSRF 攻击怎么办
CSRF 攻击详解
只为成功找方法 不为失败找借口
05-22 799
禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
vue源码之mustache模板引擎1
qweasl_的博客
05-21 441
模板引擎的一个有点:它是将数据转为视图的最优雅的方法。相信vue的玩家首先想到的是。而还没学vue的朋友,就只能进行dom操作了。通过数组的join方法。以及es6推出的模板字符串。
【Web】CISCN 2024初赛 题解(全)
uuzeray的博客
05-21 1278
这里注意细节,靶机发了两次请求,第一次我们就返回一个正常的图片,第二次请求就发一个302,php代码块要用html标签包裹。注意下面这段报错,因为加不了引号,开头是数字的话,就会将类型识别为数字,若后续出现了字符串就会报错。再打sqlite,指定tableName,加载写入的恶意so文件,反弹shell。最后注意要将获取的变量元组转字符串,再用逗号分隔,依次输出,从而绕过seed。考的python栈帧沙箱逃逸,获取到外部的栈帧,就可以用。因为ban了引号,考虑hex2bin,将数字转为字符串。
csrf防御 示例代码
06-08
下面是一个简单的CSRF防御的示例代码: ```python from flask import Flask, request, session import secrets app = Flask(__name__) app.secret_key = secrets.token_hex(16) @app.route('/transfer', methods=...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值