如何防止CSRF攻击?

已于 2023-12-18 10:48:44 修改
阅读量57 收藏
点赞数 1
文章标签: csrf 前端 网络安全
于 2023-12-18 10:31:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59920350/article/details/135022443
版权

CSRF原理:你访问其它网站,该网站拿你其它网站的cookie出来,伪造请求给你的其它网站,获取你在其它网站的信息。

防止:

方法一:存入LocalStorage里面,每次请求带上

方法二:token存入cookie中,在请求的时候取出来放入请求头中,因为黑客无法直接取cookie内的值,所以加入请求头请求给后端即可

方法三:加入验证码机制,后端响应验证码,比如黑客在进行登录时由于无法获取到验证码,故而无法请求成功,遏制了csrf

共同设置:

1、做Referer的源校验,设置域的白名单,保证是前端域发来的,不是其它网站发来的

2、用cookie的话给cookie做domain的域限制,防止其它域访问cookie的

林yun
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
如何防范CSRF攻击
qq_30745807的博客
02-25 120
referer:referer是HTTP请求Header的一部分,当浏览器向web服务器发送请求的时候,请求头信息一般要包含Referer。该Referer会告诉服务器我是从哪个页面链接过来的,服务器基于此可以获得一些信息用于处理。 Referer的作用是什么? 防恶意请求:比如A网站服务器只允许网站内地址访问,那服务器每次都需要判断Referer的值是否是同域名地址,如果不是,就拦截。 ...
WEB安全入门:如何防止 CSRF 攻击
AzulSystems的博客
02-19 1425
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。
csrf攻击原理及如何防止csrf攻击
weixin_30414245的博客
06-27 257
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,是一种对网站的恶意利用,通过伪装来自受信任用户的请求来利用受信任的网站。 CSRF攻击原理 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用...
CSRF防御方案
hdwlwang的博客
04-24 4257
我们也可以用自定义HTTP头的方法来防御CSRF攻击,因为虽然浏览器会阻止向外站发送自定义的HTTP头,但是允许向本站通过XMLHttpRequest的方式发送自定义HTTP头。比如,prototype.js这个JavaScript库就是使用这种方法,并且增加了 X-Requested-By头到XMLHttpRequest里面。
CSRF 攻击的防范措施
程序员徐师兄的博客
07-13 2789
CSRF 攻击是一种常见的 Web 攻击,可以通过利用用户已登录的身份,向目标网站发送恶意请求,从而实现攻击目的。为了避免 CSRF 攻击,开发者需要采取一些防范措施,例如随机令牌、Referer 校验和 SameSite Cookie 等。建议采用多种防范措施,以增强 Web 应用程序的安全性。
前端安全:如何防止CSRF攻击
02-24
在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
Flask模拟实现CSRF攻击的方法
09-20
防止 CSRF 攻击通常采用以下方法: 1. **验证 Token**:服务器在生成页面时,生成一个唯一的 CSRF Token,并将其存储在用户的会话(Session)或 Cookie 中。同时,将这个 Token 放入 HTML 表单的一个隐藏字段。当...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
**Django CSRF防护详解** CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种...确保在所有可能的POST请求中包含CSRF令牌,并更新你的前端代码以处理CSRF保护,可以有效地防止CSRF攻击,保护用户数据的安全。
如何防止CSRF攻击
qq_40663520的博客
04-18 3723
如何防止CSRF攻击 CSRF不需要将恶意代码注入用户的页面,仅仅是利用服务器的漏洞和用户的登录状态来实施攻击。 要让服务器避免遭受到CSRF攻击,通常有一下几种途径: 充分利用好cookies的SameSite属性:黑客会利用用户的登录状态发起CSRF攻击,而Cookie正式浏览器和服务器之间维护登录状态的一个关键数据。要防止CSRF攻击,最后能实现从第三方站点发送请求时禁止Cookie的发送。 在Http响应头中,通过设置set-cookie时,可以带上SameSite选项,如下: (1)Stric
关于CSRFcsrftoken
猪肉炖白菜
05-08 765
CSRF 虽然利用了session验证机制的漏洞,一般使用加密token的方式防御,但是其本身和session以及JWT token没有直接联系。 描述# CSRF利用用户正常登录产生的cookie,利用钓鱼网站传给用户发送一张有内容的表单,并携带用户的正常cookies访问网站,达到将伪造的表单通过用户之手传到网站上的目的。为了避免用户提交其他网站生成的表单,网站在用户登录时签发给用户一个c...
「安全系列之CSRF」如何防范csrf攻击
qq_35789269的博客
04-07 3988
背景 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。 前端安全 近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大
网络攻击——CSRF攻击
PUIWAH的博客
03-24 1298
CSRF攻击 CSRF全称是跨站请求伪造(cross site request forgery),CSRF伪装受信任用户,向第三方平台发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。 一个典型的CSRF攻击有着如下的流程: 受害者登录 a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了 b.com。 b.com 向 a.com ...
什么是CSRF攻击,如何防范CSRF攻击
weixin_47450807的博客
03-02 6897
什么是CSRF攻击,如何防范CSRF攻击
防止CSRF攻击
qq_44869043的博客
03-11 378
什么是CSRF? CSRF : cross-site-request-forgery:跨站请求伪造 攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正
CSRF攻击原理和防护措施讲解
阿飞
04-16 3763
CSRF(Cross Site Request Forger)跨站请求伪造详细讲解
Csrf攻击防止
热门推荐
八点半技术站
11-05 1万+
CSRF 的全称是“跨站请求伪造”,而 XSS 的全称是“跨站脚本”。看起来有点相似,它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户,但前面说了,它们的攻击类型是不同维度上的分 类。CSRF 顾名思义,是伪造请求,冒充用户在站内的正常操作。 我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ...
什么是CSRF攻击
最新发布
05-18
CSRF(Cross-Site Request Forgery)攻击是一种Web...防范CSRF攻击的方法有: 1. 在请求中添加token验证,确保请求是来自合法的源。 2. 不要使用基于cookie认证的方案。 3. 使用独立的子域名来存放数据,防止跨域攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值