Web安全之CSRF跨站请求伪造

最新推荐文章于 2022-10-14 14:35:31 发布
最新推荐文章于 2022-10-14 14:35:31 发布
阅读量375 收藏
点赞数 1
分类专栏: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whuhewei/article/details/104872935
版权

跨站请求伪造(Cross-site request forgery),是一种挟持用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。与XSS相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。

一、CSRF漏洞现状

CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI…而现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。

二、CSRF的原理

下图阐述了CSRF攻击的思想:
在这里插入图片描述
从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:

1. 登录受信任网站A,并在本地生成Cookie
2. 在不登出A的情况下,访问危险网站B

三、CSRF的防御

CSRF的防御可以从服务端和客户端两方面着手,防御效果是从服务端着手效果比较好,现在一般的CSRF防御也都在服务端进行。
服务端防御CSRF的方式有很多种,但总的思想都是一致的,就是在客户端页面增加伪随机数

Cookie Hashing(所有表单都包含同一个伪随机值):

这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了。
操作过程:在服务端构造加密的Cookie信息,发送到客户端,在客户端表单中增加Hash值,以认证这确实是用户发送的请求。然后在服务端进行Hash值验证。
但这种方式不能做到百分百安全,因为用户的Cookie信息可能因为XSS攻击被盗取。

添加校验token

由于CSRF的本质在于攻击者欺骗用户去访问自己设置的地址,所以如果要求在访问敏感数据请求时,要求用户浏览器提供不保存在cookie中,并且攻击者无法伪造的数据作为校验,那么攻击者就无法再运行CSRF攻击。这种数据通常是窗体中的一个数据项。服务器将其生成并附加在窗体中,其内容是一个伪随机数。当客户端通过窗体提交请求时,这个伪随机数也一并提交上去以供校验。正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从事先得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。
这个方案可以完全解决CSRF,正如现在很多网站要求你按顺序点击图片中的字/输入图片中的数字/拖动滑块/找出狗的图片…就是采用了这个方案,虽然给用户带来了麻烦,却可以有效解决CSRF跨站请求伪造的攻击。

whuhewei
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django CSRF跨站请求伪造防护过程解析
09-18
通过理解Django的CSRF防护机制,开发者可以更好地保护其Web应用免受跨站请求伪造的攻击,确保用户据的安全。在开发过程中,始终遵循最佳安全实践,定期审计和测试应用的防护措施,是保障Web应用安全的重要环节。
csrf跨站请求伪造简单示例
10-18
一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
实现对预检请求的跨域(踩坑)
whuhewei的博客
09-06 4645
写在前面 由于这篇博客承接自我的上一篇博客,因此在看这篇博客之前先看我的上一篇博客哦~ 问题的由来 前几天我写了篇记录前端实现跨域的操作并成功实现了跨域(通过代理为响应头添加允许跨域的字段),今天突然发现不work了,又报了跨域的错误,报错信息如下: 在Crome中查看预检请求 关于简单请求、复杂请求,以及预检请求(OPTIONS)的由来网上有很多介绍性的文章,在此不再赘述。一言以蔽之,是因为我们获取token的post请求设置了content-type: application/json的头部字段引起了
npm安装github包
whuhewei的博客
03-19 2963
背景 之前有个需求要做一个无线滚动的列表,于是使用了react-infinite-scroll-component 需要让列表能够自动滚动并自动加载据,设置为每100毫秒加载一条新据并自动滚动到底部。 发现实现起来跟期望有差异,列表并没有按照1秒加载10条据的速度加载,实际要略慢些。通过分析react-infinite-scroll-component源码发现这个组件在监听滚动时有个默认的150毫秒的节流操作: 我想取消掉这个默认的节流行为。 fork代码仓库修改 fork后的仓库地址 为该组件新增
JavaScript实现类似百度的智能搜索框
whuhewei的博客
03-16 2076
很多网站都提供智能搜索框这一功能,它能根据用户的输入自动提示出需要补全的据项,方便了用户的查询操作。下面用JavaScript+jquery在前端层面实现了智能搜索框功能,代码如下: <!DOCTYPE html> <html lang="en"> <head> <title>智能搜索框</title> <meta...
Web安全之XSS跨站脚本攻击
whuhewei的博客
03-14 1589
XSS跨站脚本攻击指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,攻击成功后,攻击者可能得到包括但不限于更高的权限、私密网页内容、会话和cookie等各种内容。 一、原理 HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标...
三分钟搭建React + Electron开发环境
whuhewei的博客
03-03 1565
三分钟搭建React + Electron开发环境背景创建React项目添加Electron包相关配置项目根目录下新建main.js配置package.json启动electron启动效果 背景 先前的博客中介绍过怎么通过Webpack搭建React的开发环境,自己搭建需要很多的手动配置工作。当需要快速开发一个简单的React应用时,推荐使用create-react-app快速生成React的开发环境。 怎么快速搭建一个Electron环境是简单的,但是搭一个React + Electron的环境是略微有
快速打包React+Electron项目
whuhewei的博客
03-04 1354
背景 上一篇博客介绍了如何快速搭建React + Electron的开发环境,简单应用开发完毕后需要打包成应用程序,比如你需要把你开发的App发给其他人使用。 下面基于上一篇博客内容进一步介绍如何打包: 打包React项目 首先修改main.js 因为现在你要将react项目打包在build文件夹下面,所以加载应用处改成如下: // 加载应用----react 打包 mainWindow.loadURL(url.format({ pathname: path.join(__dirname, './bui
ES5和ES6实现每隔一秒打印一个
whuhewei的博客
06-20 1304
要求隔一秒打印出一个1,再隔一秒打印出个2,再隔1秒打印出个3… 废话不多说,直接上代码: ES6 for(let i = 1; i <= 10; i++){ setTimeout(function () { console.log(i); }, 1000 * i); } ES5 for(var i = 1; i <= 10; i++){ (function (i) { setTimeout(function () {
js使用reduce实现组合函
whuhewei的博客
06-21 1048
题目描述 /** * 函组合运行 * 说明:实现一个方法,可将多个函方法按从左到右的方式组合运行。 * 如`composeFunctions(fn1,fn2,fn3,fn4)`等价于`fn4(fn3(fn2(fn1))`。 * 示例: * const add = x => x + 1; * const multiply = (x, y) => x * y; * const multiplyAdd = composeFunctions(multiply, add);
Web安全之SQL注入
whuhewei的博客
03-10 1044
一、什么是SQL注入? SQL是操作据库据的结构化查询语言,网页的应用据和后台据库中的据进行交互时会采用SQL。SQL注入是指将Web页面的原URL、表单域或据包输入的参,修改拼接成SQL语句,传递给Web服务器,进而传给据库服务器以执行据库命令。当Web应用程序的开发人员对用户所输入的据不进行过滤或验证(即存在注入点)就直接传输给据库,就可能导致拼接的SQL被执行,获取据...
常见HTTP状态码
whuhewei的博客
03-22 987
当浏览者访问一个网页时,浏览者的浏览器会向网页所在服务器发出请求。当浏览器接收并显示网页前,此网页所在的服务器会返回一个包含HTTP状态码的信息头用以响应浏览器的请求。下面是常见的HTTP状态码: 200: 请求成功 301: 资源(网页等)被永久转移到其它URL 304: 未修改。所请求的资源未修改,服务器返回此状态码时,不会返回任何资源。 404: 请求的资源(网页等)不存在 500: 内部...
记一次前端解决跨域问题的实践
whuhewei的博客
09-02 925
12
JavaScript 事件处理机制(事件模型)
whuhewei的博客
03-06 920
DOM是树形结构,如果父子节点都绑定事件,事件处理先后的顺序如何决定? 这就涉及到事件流的概念: 一、事件流 事件流指的是从页面中接受事件的顺序。 事件冒泡 事件冒泡是一种从下往上的传播方式,事件由文档中嵌套层次最深的节点逐渐传播到高层父节点。 事件捕获 事件捕获流处理事件的顺序与事件冒泡相反。 JavaScript事件处理程序遵循先捕获(父节点先发现事件)后冒泡(从子节点向上传递)的规则。 如下...
实现js中的instanceof
whuhewei的博客
04-29 534
js中的instanceof操作符用来判断某个对象是否是某个构造函的实例,使用方法为obj instanceof fun,左侧是一个对象,右侧是一个构造函,如果该对象是构造函的实例(含继承),则返回true,否则返回false。 下面我们来实现一下instanceof: function instance_of(l, r){ // l代表操作符左侧的对象,r代表操作符右侧的构造函 wh...
JavaScript 反转字符串
whuhewei的博客
03-25 460
在JavaScript中怎么反转一个字符串?下面展示两种方法: 使用for循环 这种方法可能是最容易想到的,即将原字符串倒序循环一遍赋给新字符串即可,代码如下: var str = "Hello World"; var reversedStr = ""; for(var i = str.length - 1; i >= 0; i --) { reversedStr += str[i]; }...
牛客NC61 两之和
whuhewei的博客
10-14 417
之和
Web网络的CSRF跨站请求伪造基本原理是什么,如何防御?
最新发布
02-06
跨站请求伪造(Cross-Site Request Forgery, CSRF)是一种恶意攻击,目的是在用户不知情的情况下,让用户的浏览器执行恶意请求。这种攻击利用了浏览器在同一站点内的身份验证凭证,例如Cookie,来执行恶意请求。 跨...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值