什么是 CSRF 攻击?

已于 2022-06-28 16:39:12 修改
阅读量2.7k 收藏 2
点赞数 1
文章标签: csrf 前端 安全 服务器 运维
于 2022-05-23 19:50:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46267040/article/details/125369346
版权

本文已整理到 Github,地址 👉 blog

如果我的内容帮助到了您,欢迎点个 Star 🎉🎉🎉 鼓励鼓励 :) ~~

我希望我的内容可以帮助你。现在我专注于前端领域,但我也将分享我在有限的时间内看到和感受到的东西。

CSRF(Cross-site request forgery):跨站请求伪造。 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。与 XXS 相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

CSRF 的攻击原理

  • 用户登录了受信任的网站,并在本地生成了 cookie。
  • 在不退出登录的情况下,访问了危险网站。
  • 危险网站会发出一个请求到受信任的网站,受信任的网站不知道请求是用户访问的还是危险网站访问的,由于浏览器会自动带上用户 cookie,所以受信任的网站会根据用户的权限处理危险网站所发出的请求,达到了模拟用户操作的目的。

CSRF 的防范

  • 对于 GET 的请求,我们不应对数据进行任何修改操作
  • 请求时附带验证信息,比如验证码或者 token
  • 对于 cookie,我们可以设置 same-site(LaxStrict)来规定浏览器不能在跨域请求中携带 Cookie ,减少 CSRF 攻击
  • 验证 HTTP Referer 字段,判断请求来源。Referer 指的是页面请求来源。意思是,只接受本站的请求,服务器才做响应;如果不是,就拦截。

更多资源

lio_zero
关注
什么是CSRF攻击,如何防范CSRF攻击
weixin_47450807的博客
03-02 7001
什么是CSRF攻击,如何防范CSRF攻击
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击
jinyangjie的博客
02-14 7054
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
什么是 CSRF 攻击
热门推荐
点滴
03-28 3万+
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 通常当用户打开了黑客的页面后,黑客有三种方式去实施 CSRF 攻击。 下面我们以极客时间官网为例子,来分析这三种攻击方式都是怎么实施的。这里假设极客时间具有转账功能,可以通过 POST 或 Get 来实现转账,转账接口如下所示: 有了上面的
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
xiangxue888的博客
09-09 1222
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
CSRF是什么?
文摘资讯
09-27 8753
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 攻击
什么是CSRF攻击
weixin_40851188的博客
05-01 1650
什么是 CSRF 攻击CSRF 概念:CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利 用。 尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装成受信任用户的...
CSRF攻击
后台开发
08-31 9760
CSRF攻击(Cross Site Request forgery) 全称跨站请求伪造 攻击者盗用你在某网站的身份如cookie,以你的名义向该网站发送恶意请求。这个就比较可怕了,能够利用你的身份发邮件,发短信,甚至转账,盗取账号等。 首先用户C访问站点A,然后通过信息验证完成登陆,此时产生cookie值保存在浏览器中,然后用户C在没有退出该网站的情况下,无意中访问了恶意的站点B,此时站点B的某个页面带着站点A的cookie 向站点A 发恶意请求,站点A根据请求所带的cookie,判断此请求为用户发送.
3.请说明什么是XSS攻击?什么是CSRF攻击?分别怎么防御这类攻击
05-30
CSRF攻击(跨站请求伪造攻击)是指攻击者通过伪造用户请求,向Web应用程序发送恶意请求,从而达到攻击的目的。CSRF攻击通常可以通过在正常的网站中插入恶意链接或者图片实现。 防御CSRF攻击的方法包括: 1. 使用...
什么是CSRF攻击?应如何防御?
weixin_45290022的博客
05-23 474
一、什么是CSRF攻击? 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 二、CSRF攻击原理是什么? 依据上图的原理简单点说就是攻击者通过一些技术手段欺骗用户的浏览器去访问一
CSRF 攻击详解
只为成功找方法 不为失败找借口
05-22 2605
禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
Csrf攻击
kimojinmmp的博客
04-03 203
1.Csrf原理: 1.对目标网站增删改的地方进行标记,并观察其逻辑,判断请求是否可以被伪造,比如修改管理员账号时,并不需要验证旧密码,导致请求容易被伪造;v比如对于敏感信息的修改并没有使用安全的token验证,导致请求容易被伪造。 2.确认凭证的有效期(这个问题会提高CSRF利用的概率) 3.虽然退出或者关闭了浏览器,但cookie仍然有效,或者session并没有及时过期,导致CSRF攻击变的简单 2.防御CSRF攻击: 验证token:form 的最后加上 验证HTTP请求的Referer, 还有验
跨站请求伪造-CSRF防护方法
hjjhce的博客
08-18 794
跨站请求伪造-CSRF防护方法                               CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 1 CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中We
CSRF攻击
咔咔博客
05-10 643
author:咔咔 wechat:fangkangfk csrf:跨站请求伪造 1.用户登录A网站 2.用户登录成功后A网站给返回cookie 3. 用户可以携带A网站返回cookie来正常请求A网站 4.这时在用户没有退出A网站,访问B网站 5.B网站接收到用户的请求后返回一些攻击代码 6.从而B网站可以携带用户的cookie来请求A网站,这种请求可能包含更新,删...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值