什么是CSRF攻击,如何防范CSRF攻击?

最新推荐文章于 2024-05-01 13:33:23 发布
最新推荐文章于 2024-05-01 13:33:23 发布
阅读量6.7k 收藏 44
点赞数 3
分类专栏: 计算机网络 文章标签: javascript 前端 web安全 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47450807/article/details/123227342
版权

一、什么是CSRF攻击
CSRF攻击的全称为跨站脚本伪造,也称为One Click Attack或者Session Eiding,通常缩写为CSRF或者XSRFCSRF通过伪装来自受信任的用户的请求来攻击受信任的网站。与XSS相比,CSRF攻击往往不太流行(因此对其进行防范的资源也是相当紧缺的)和难以防范的,所以被认为比XSS更具危险性。我们可以这么理解CSRF攻击:首先攻击者会先盗用你的身份,然后以你的名义进行某些非法操作,甚至盗走你的账户购买的商品等。CSRF攻击其值是利用web中用户身份认证验证的一个漏洞:简答的身份验证仅仅可以保证请求发自某一个用户的浏览器,却无法保证请求本身是用户资源发出的。
二、CSRF攻击的流程
在这里插入图片描述
CSRF攻击原理过程如下:

1、用户C打开浏览器,访问安全网站A,输入用户名和密码请求登录网站A.
2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录A成功,可以正常发送请求到网站A3、用户没有退出A之前,在同一个浏览器中,打开一个Tab页面来访问网站B.
4、网站B接收到用户的请求后,返回一些攻击代码,并且发出一个请求要求访问第三方站点A.
5、浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站
最低0.47元/天 解锁文章
卖菜的小白
关注
  • 3
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CSRF是什么?攻击原理?如何防御CSRF?
winkexin的博客
05-17 368
你已经登录了银行站点A,而B中的 一个合法的请求,但这里被不法分子利用了)。所以你的浏览器会带上你的银行站点A的Cookie发出Get请求,去获取资源以GET的方式请求第三方资源(这里的第三方就是指银行站点了,原本这是http://www.mybank.com/Transfer.php?(1)在 HTTP 请求中以參数的形式添加一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,假设请求中没有 token 或者 token 内容不对,则觉得可能是 CSRF 攻击而拒绝该请求。
CSRF漏洞原理攻击与防御(非常细)
dzqxwzoe的博客
07-18 2320
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
2024年网安最全不好,有敌情,遭到CSRF攻击【网络安全篇】_anti-csrf token
2401_84266016的博客
05-01 56
相信到这里,你对CSRF攻击也有一些了解了,这种攻击方式是黑客利用我们登录的这种状态,在我们登录的网站里操作了一些隐私敏感的功能,但我们通过相对应的防御手段就可以防御住这波敌情,最终取得胜利。为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~
安全】什么是CSRF攻击?如何避免?开发的时候怎么预防?
DreamSun的博客
09-14 3629
CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网站的恶意利用,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF跨站点请求伪造(Cross—Site Request Forgery) 跟XSS攻击一样,存在巨大的危害性。
CSRF漏洞攻击原理及防御方案
xv7777666的博客
04-07 3084
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。但是,如果用户还未退出网站A,或者当时恰巧刚访问网站A不久,他的浏览器与网站A之间的session 尚未过期,浏览器的cookie 之中含有用户的认证信息。这时,悲剧发生了,这个url 请求就会得到响应,黑客就能以用户的权限修改密码,且用户毫不知情。在通常情况下,验证码能很好遏制CSRF攻击
什么是 CSRF 攻击
songshao の blog
08-10 2013
对 Cookie 进行双重验证,服务器在用户访问网站页面时,向请求域名注入一个 Cookie,内容为随机字符串,然后当用户再次向服务器发送请求的时候,从 cookie 中取出这个字符串,添加到URL参数中,然后服务器通过对 cookie 中的数据和参数中的数据进行比较,来进行验证。Samesite 一共有两种模式,一种是严格模式,在严格模式下 cookie 在任何情况下都不可能作为第三方 Cookie 使用,在宽松模式下,cookie 可以被请求是GET 请求,且会发生页面跳转的请求所使用。
什么是 CSRF 攻击,原理是什么
stormjun的博客
07-13 931
CSRF 攻击是一种跨站点请求伪造攻击攻击者通过欺骗用户执行恶意请求来攻击 Web 应用程序。攻击者通常使用社交工程学技术,如钓鱼邮件和恶意广告,来欺骗用户点击恶意链接或打开恶意页面。例如,攻击者可以在一个网站上的一个表单中注入恶意代码,当用户访问这个网站时,恶意代码会自动发送请求到另一个网站,从而执行恶意操作,如更改用户密码或转移用户资金。由于用户在访问恶意网站时已经登录了另一个网站,因此攻击者可以利用用户的身份进行攻击
前端安全:如何防止CSRF攻击
02-24
在移动互联网时代,前端人员除了传统的XSS、CSRF安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
PHP开发中csrf攻击的简单演示和防范
10-19
CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】)CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对...
Flask模拟实现CSRF攻击的方法
09-20
# Flask 模拟实现 CSRF 攻击方法详解 CSRF(Cross Site Request Forgery,跨站请求伪造)是一种网络攻击手段,它利用了用户已经登录并持有有效会话(如 Cookie)的情况,使得攻击者可以在不知情的情况下,通过诱使...
什么是CSRF攻击,以及如何防御
weixin_41359273的博客
04-14 8608
什么是CSRF攻击,以及如何防御1.CSRF攻击的概念2.CSRF攻击简单案例2.1 银行网站项目2.2 危险网站的项目2.3 测试3.默认的CSRF防御策略4前后端分离的CSRF防御策略 1.CSRF攻击的概念 1.CSRF全称为Cross Site Request Forgery,跨域请求伪造。这是一种很常见的Web攻击方式,如下为一个简单的攻击流程。 1)假设用户打开了一个银行网站,并且登录了 2)登录成功后,会返回一个cookie给前端,浏览器将cookie保存下来 3)用户在没有登出银行网站的情况
CSRF攻击与法防御
dzqxwzoe的博客
03-10 499
具体来讲,可以这样理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。登录Web应用程序,提交表单,在CSRF工具中修改表单内容,查看是否更改,如果更改表面存在CSRF漏洞。
面试题:什么是CSRF攻击,如何避免
jakelihua
06-11 214
明确数据范围:在使用HTTP协议进行请求时,为了防止 Cross-site Request,需要在 HTTP 请求头中加入一个随机的 token 作为校验码,在服务端比较 token 值与 cookie 中存储的值是否相同,若不同则拒绝请求。综上所述,为了防止CSRF攻击,我们应该养成使用 HttpOnly 属性的 cookie 以及在cookie中存储数据范围及请求随机 token 的良好习惯,此外合适地设计url结构来限制用户表单提交也是一种有效方法。
什么是CSRF攻击?要如何来防范
javagty6778的博客
03-04 178
面试官:给我讲讲网站常会受到哪些攻击,怎么去防范呢我:比如XSS攻击,SQL注入等还有CSRF。面试官:好,你给我详细说说CSRF吧。我:💥💥。。。。跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。如:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。
4.3. CSRF
Sumarua的博客
07-02 1189
文章目录4.3. CSRF4.3.1. 简介4.3.2. 分类4.3.2.1. 资源包含4.3.2.2. 基于表单4.3.2.3. XMLHttpRequest4.3.3. 防御4.3.4. 参考链接 4.3. CSRF 4.3.1. 简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内
什么是 CSRF 攻击?如何防范 CSRF 攻击
weixin_49733248的博客
08-20 575
CSRF 攻击指的是跨站请求伪造攻击攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求。如果用户在被攻击网站中保存了登录状态,那么攻击者就可以利用这个登录状态(cookie),绕过后台的用户验证,冒充用户向服务器执行一些操作。 CSRF 攻击的本质是利用了 cookie 会在同源请求中携带发送给服务器的特点,以此来实现用户的冒充。 防护方法: 同源检测,服务器检测请求来源; 使用 token 来进行验证; 设置 cookie 时设置 Samesite,限制 cookie 不能作
什么是CSRF攻击
最新发布
05-18
CSRF(Cross-Site Request Forgery)攻击是一种Web应用程序中常见的安全漏洞,攻击者可以利用该漏洞欺骗用户在不知情的情况下执行某些操作,比如在用户不知情的情况下发邮件、发微博、加好友等。攻击者通过构造恶意请求,将请求发送到服务器,而服务器无法区分是合法的请求还是恶意的请求。一旦用户点击了恶意链接或访问了恶意网站,攻击者就能够获得用户的身份认证信息,并且以此进行攻击防范CSRF攻击的方法有: 1. 在请求中添加token验证,确保请求是来自合法的源。 2. 不要使用基于cookie认证的方案。 3. 使用独立的子域名来存放数据,防止跨域攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值