CSRF 攻击是什么?如何防范?

最新推荐文章于 2024-10-03 04:21:19 发布
最新推荐文章于 2024-10-03 04:21:19 发布
阅读量270 收藏
点赞数 3
分类专栏: 前端面试题集 文章标签: csrf 网络 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64684095/article/details/140112934
版权

1. 什么是 CSRF 攻击

跨站请求伪造,利用用户在特定网站上的登录状态。诱导用户在不知情的情况下执行攻击者预定的一些操作。

简单来说,就是攻击者通过受害者浏览器发送一个恶意请求到已经登录的网站。由于浏览器会自动携带这个网站的 cookie 认证信息。网站误认为请求是用户自己发起的。从而执行恶意的操作。比如转账、修改密码、发布内容等。这个就是 CSRF 攻击。

2. 如何防范?

2.1 使用 token

在表单或 ajax 请求中加入一次性 token,服务器在接受请求后,除了验证 cookie 外,还会验证这个 token 是否有效和未被使用过。

2.2 验证 referer

服务端验证请求头中的 referer 字段,referer 字段代表请求发送的站点。

2.3 二次确认

对于敏感操作,要求用户二次确认。比如转账,可以让用户在转账前,再次输入密码或验证码确认。

2.4 使用安全矿建或库

像 VUE 或 React 等都是内置了防止这种攻击的机制。我们需要充分利用它的这个安全特性。

2.5 限制 API 访问接口

对于 API 接口使用 API 密钥,对请求进行一些合法性的管理,确保接口调用来至授权的这个地址。

yqcoder
关注
专栏目录
什么是CSRF攻击,如何防范CSRF攻击
weixin_47450807的博客
03-02 6987
什么是CSRF攻击,如何防范CSRF攻击
什么是CSRF攻击
weixin_40851188的博客
05-01 1647
什么是 CSRF 攻击CSRF 概念:CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利 用。 尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装成受信任用户的...
什么是 CSRF 攻击
lio-zero 的博客
05-23 2746
CSRF(Cross-site request forgery):跨站请求伪造。 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。与 XXS 相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 CSRF攻击原理 用户登录了受信任的网站,并在本地生成了 cookie。 在不退出登录的情况下,访问了危险网站。 危险网站会发出......
什么是CSRF攻击,XSS攻击?如何防范
zxjljl的博客
06-01 366
即跨站请求伪造,是一种利用用户的登录状态,以用户身份进行非法的操作。攻击者通过盗用用户的身份,在用户不知情的情况下完成一些危害性的操作,比如删除账号,发邮件等。攻击者通常会诱骗用户点击带有攻击性的链接,或者注入恶意代码到被攻击网站中,等待用户点击触发。,即跨站脚本攻击,是指攻击者在网页中注入可执行的代码,当用户浏览该网页时,注入的代码会被执行,从而达到盗取用户信息、窃取Cookie、篡改网页等恶意目的的攻击方式。攻击者通常会在提交或传输数据时,利用未经过滤的HTML或JavaScript注入攻击代码。
什么是 CSRF 攻击
热门推荐
点滴
03-28 3万+
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 通常当用户打开了黑客的页面后,黑客有三种方式去实施 CSRF 攻击。 下面我们以极客时间官网为例子,来分析这三种攻击方式都是怎么实施的。这里假设极客时间具有转账功能,可以通过 POST 或 Get 来实现转账,转账接口如下所示: 有了上面的
什么是 CSRF 攻击?如何防范 CSRF 攻击
weixin_49733248的博客
08-20 592
CSRF 攻击指的是跨站请求伪造攻击攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求。如果用户在被攻击网站中保存了登录状态,那么攻击者就可以利用这个登录状态(cookie),绕过后台的用户验证,冒充用户向服务器执行一些操作。 CSRF 攻击的本质是利用了 cookie 会在同源请求中携带发送给服务器的特点,以此来实现用户的冒充。 防护方法: 同源检测,服务器检测请求来源; 使用 token 来进行验证; 设置 cookie 时设置 Samesite,限制 cookie 不能作
什么是csrf攻击?xss攻击?如何防护
肥茹的博客
08-24 921
XSS: 通过客户端脚本语言(最常见如:JavaScript) 在一个论坛发帖中发布一段恶意的JavaScript代码就是脚本注入,如果这个代码内容有请求外部服务器,那么就叫做XSS! CSRF:又称XSRF,冒充用户发起请求(在用户不知情的情况下),完成一些违背用户意愿的请求(如恶意发帖,删帖,改密码,发邮件等)。 专业解释 CSRF,跨站请求伪造,攻击方伪装用户身份发送请求从而窃取信息或者破坏系统。 讲述基本原理:用户访问A网站登陆并生成了cookie,再访问B网站,如果A网站存在CSR
CSRF 攻击和 XSS 攻击分别代表什么?如何防范
weixin_43741253的博客
08-09 1478
在不登出 A 的情况下,如果 A 网站存在 CSRF 漏洞,此时 B 网站给 A 网站的请求(此时相当于是用户访问),A 网站会认为是用户发的请求,从而 B 网站就成功伪装了你的身份,因此叫跨站请求伪造。1.登录受信任网站 A,并在本地生成 Cookie。(如果用户没有登录网站 A,那么网站 B 在诱导的时候,请求网站 A 的 api 接口时,会提示你登录)。不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 JS、html 代码块)。
Spring Security 中的 CSRF 攻击是什么?如何防止它?
u013749113的博客
05-24 1568
CSRF 攻击是一种常见的网络安全威胁,可以通过欺骗用户向目标站点发送恶意请求,从而达到攻击目的。SpringSecurity 提供了多种方式来防范 CSRF 攻击,其中最常用的方式是使用 CSRF Token 和 SameSite Cookie。CSRF Token 可以在每个页面中嵌入一个唯一的 Token 值,然后在用户发送请求时,将这个 Token 值一并发送到服务器端进行验证。
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
PHP开发中csrf攻击的简单演示和防范
10-19
CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】)CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对...
如何防止CSRF攻击?
ccyzq的博客
03-17 4363
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
什么是csrf攻击如何避免,CSRF攻击与防御
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
05-05 2909
CSRF攻击攻击原理及过程如下: 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
Pikachu-csrf-CSRF(POST)
最新发布
guanrongl的专栏
10-03 277
拦截抓包,在请求信息中, Engagement Tool --》generate CSRF PoC。打开 poc.html 页面,点击submit request ,即可达成攻击;得到以下 html 代码 ,生成poc.html 文件,当用户点击。
Web安全 - 跨站点请求伪造CSRF(Cross Site Request Forgery)
小工匠
09-29 1307
CSRF (Cross-Site Request Forgery,跨站请求伪造) 是一种攻击方式,攻击者诱导用户在不知情的情况下发起非授权的请求。例如,用户在登录某个站点后,攻击者通过社交工程等手段诱使用户点击包含恶意请求的链接,利用用户已登录的状态,发起用户意图之外的操作,如转账、修改账户设置等。:在每次受保护的请求中,服务器生成一个唯一的CSRF Token,注入到表单或请求头中。:对于敏感操作,可以要求用户进行额外的身份验证,如验证码或短信验证,防止攻击者即便利用用户的认证状态,也无法完成关键操作。
Pikachu-csrf-CSRF(get)
guanrongl的专栏
10-03 299
就是 get请求的csrf 攻击payload。登陆,修改个人信息;发现这是个get请求。
Linux 再入门整理:详解 /etc/fstab 文件
一只奋斗的猪
10-01 1215
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
毕业设计——springboot+netty+websocket实现一个简单的ChatGpt机器人聊天
【CSDN】
09-29 892
WebSocket是html5开始浏览器和服务端进行全双工通信的网络技术。在该协议下,与服务端只需要一次握手,之后建立一条快速通道,开始互相传输数据,实际是基于TCP双向全双工,比http半双工提高了很大的性能,常用于网络在线聊天室等。申请key的教程在项目resources目录readme.md文件中。1、接入了chatGpt接口,只需要替换成自己的key就行。2、实现了与机器人的聊天,可以优化做成智能客服。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yqcoder

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值