防止csrf攻击之token

最新推荐文章于 2023-02-19 18:45:00 发布
最新推荐文章于 2023-02-19 18:45:00 发布
阅读量588 收藏 1
点赞数 2
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yezi__6/article/details/105277385
版权

1.设置随机字符串,尽量大一些

var csrfToken=parseInt(Math.random()*999999,10);
		ctx.cookies.set('csrfToken',csrfToken)
		console.log(ctx.cookies.get('csrfToken'))

2.在表单中提交的数据中加入csrfToken

if(post){
			ctx.render('post', {post, comments, csrfToken});
		}else{
			ctx.status = 404;
		}

3.在页面的表单中加入token

实际应用中可以将input进行隐藏,然后进行表单提交给后端进行校验。

.input-field
input(name="csrfToken",value=csrfToken)

3.token验证,通过验证则可以发表评论

//token验证
		if(!data.csrfToken){
			throw new Error('csrfToken 为空')
		}
		if(data.csrfToken !== ctx.cookies.get('csrfToken')){
			throw new Error('csrfToken 错误')
		}

注意:如果是ajax请求可以将token放入meta中:

<meta name="csrf-param" content="_csrf">

然后在提交数据时,获取meta中的token,一起发送到后端,后端进行校验

yezi__626
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全系列之二:如何防止CSRF攻击
javagty6778的博客
03-07 452
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
Postman入门第一坑:提取返回值
yuanwenzhong123的博客
10-14 1049
Postman是做接口测试的,但是很多接口并不是直接就能测,有的需要一些预处理。比如说身份认证,需要传递一个token。如果做网页测试,一般打开登陆界面的时候就会生成一个token,如果返回值是json格式,用Postman从中提取值是很简单的,在Tests中输入: var jsonData =JSON.parse(responseBody);//获取body中返回的所有参数 pm.environment.set("appKey",jsonData.data.keys);//把返回参数中的keys设置
token 为什么可以防止CSRF 攻击
qq_40929531的博客
12-03 2250
token 是被开发者发送给后端的,攻击者如果无法获取到token 是无法通过后端服务器的校验的 但是cookie 不同,只要在同一个浏览器,浏览器就会自动将cookie 放入请求头中,如果用cookie 做登录验证,例如: 小明登录了csdn, 此时小明突然想到了一件事情,登录了另一个网站,而这个网站被不知名的人埋入了一些请求,这些请求是当其他人进入该网站,则请求csdn 友好的帮助访问者发布一篇文章, 假如csdn 使用的是cookie做登录判断,小明访问该网站时触发了该请求,浏览器会自动将coo
token及用tokencsrf
weixin_44720762的博客
06-01 7999
为什么会出现csrf:一方面,用户安全意识不足,访问不知名的url。另一方面,web没有做到准确的合法用户验证。 由此产生了token,也就是令牌。以修改个人信息页面为例。每当用户访问此页面。html脚本会生成一个随机token,相当于给用户发了一个令牌。通过url中的header一并发到后端。当是这和单一的id其实并没有多大的不同,任何人都可以通过抓包伪造。所以就需要签名。通过算法,将用户id ...
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 2万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
为什么token能够防止CSRF(修正版)
qq_45888932的博客
04-06 8887
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
Token如何防止CSRF漏洞
Ethan024的博客
03-20 1272
Token如何防止CSRF漏洞 CSRF的主要问题是敏感操作的链接容易被伪造,因此每次请求,都添加一个随机码(需要足够长度,足够随机,不容易被伪造),后台每次对这个随机码进行验证。 实验环境: 皮卡丘靶场—CSRF Token 实验步骤: 输入用户名和密码:lucy/123456 修改信息,将ShangHai修改为ShangHai xxx,并且用burpsuite抓包,可看见响应头设置的Token值。 查看后端源代码,发现input标签里面有个token: 将响应头复制出来进行修改 再重
CSRF攻击及防御
ProNotes的博客
09-04 434
1. 概述 概念 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 攻击细节 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一
在Django中预防CSRF攻击的操作
12-20
CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 防止 CSRF 攻击 步骤: 1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 2. 在 Form 表单中添加一个隐藏的的字段...
Flask模拟实现CSRF攻击的方法
12-24
CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 防止 CSRF 1.在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 2.在 Form 表单中添加一个隐藏的的字段,值也是 csrf...
简解:CSRF的原理及防御
04-06
简解:CSRF的原理及防御
token-session:简单的基于令牌的会话
06-09
出口商店 暴露构造函数。 警告 生产中使用MemoryStore警告消息。 会议() 会议: Setup session store with the given `options` . 例子: connect ( ) . use ( connect . json ( ) ) . use ( connect . session ( ) 选项: - `store` session store instance - `logger` optional logger provided by [log4js-node](https://github.com/nomiddlename/log4js-node) 请求会话 要存储或访问会话数据,只需使用请求属性req.session ,它(通常)由存储序列化为 JSON,因此嵌套对象通常很好。 例如下面是用户特定
php跨站攻击实例分析
01-20
跨站攻击就是利用程序上的一些细节或bug问题进行的,那么我们要如何耿防止跨站攻击呢?下面就以一个防止跨站攻击例子来说明,希望对各位有帮助。 复制代码 代码如下:<?php #demo for prevent csrf /** * enc */ ...
php表单加入Token防止重复提交的方法分析
01-20
Token一般用在两个地方——防止表单重复提交、anti csrf攻击(跨站点请求伪造)。 两者在原理上都是通过session token来实现的。当客户端请求页面时,服务器会生成一个随机数Token,并且将Token放置到session当中,...
WEB安全入门:如何防止 CSRF 攻击
AzulSystems的博客
02-19 1346
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。
防止CSRF攻击与protect_from_forgery
qwbtc的博客
05-12 2775
CSRF(Cross-Site Request Forgery)是一种常见的攻击手段,Rails中下面的代码帮助我们的应用来阻止CSRF攻击。 class ApplicationController ActionController::Base # Prevent CSRF attacks by raising an exception. # For APIs, you may wan
ThinkPHP6表单令牌防止重复提交
qq_58730260的博客
11-19 1422
使用表单令牌需先开启session,session在ThinkPHP6中默认是未开启的,因为Token的值是会存到session中的,session是一个应用到整个浏览器的应用程序 在表单中使用表单令牌,首先需要设置一个隐藏域用来存放Token值 <input type="hidden" name="__token__" value="{:token()}" /> 还可以直接使用 {:token_field()} 默认的令牌Token名称是__token__,如果需要自定义名称及令
利用matlab对am,dsb,ssb,ask,fsk,bpsk信号进行正交调制解调仿真
最新发布
04-18
利用matlab对am,dsb,ssb,ask,fsk,bpsk信号进行正交调制解调仿真,并在不同信噪比条件下对其数字信号进行了误码率的计算。.rar
任务悬赏活动,带分销返佣
04-18
任务悬赏活动,带分销返佣
spring cloud 如何防止CSRF攻击
04-28
Spring Cloud提供了多种方式来防止CSRF攻击: 1. 使用Spring Security防止CSRF攻击,配置`csrf().disable()`来禁用CSRF保护。 2. 添加CSRF Token,Spring Security提供了一种方便的机制来添加CSRF Token到表单中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值