CSRF攻击及防御措施

最新推荐文章于 2024-05-27 09:45:00 发布
最新推荐文章于 2024-05-27 09:45:00 发布
阅读量4.8k 收藏 2
点赞数 1
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhi_Miss/article/details/51338401
版权

CSRF,跨站请求伪造,简单来说是盗用用户的身份,以用户的身份发送恶意请求,比如以用户的身份进行银行转账等。

原理:用户登录信任网站A,并生成本地cookie,在没有登出A的情况下,访问了危险网站B,B网站中要求访问第三方站点,发出request请求,浏览器带着A产生的cookie访问。

防御措施:

a.在请求地址中添加token并验证

在请求中放入攻击者不能伪造的信息,并且该信息不在cookie中,开发者可以在http请求中以参数的形式加入一个随机产生的token,并且在服务器建立一个拦截器来验证这个token。如果请求中没有token或者token中内容不正确的话,表示可能是攻击者发动的攻击。

b.验证HTTP Referer字段

http头中有一个referer,记录http请求的来源地址,访问一个安全受限的页面的请求必须来自同一个网站。当用户要提交一个请求时,请求的referer值需是提交按钮(触发请求)所在的页面的URL。

c.在http头中自定义属性并验证

通过XHR这个类,一次性给所有该类请求加上csrftoken这个http头属性,并且把token值放入其中。

d.验证码

每次用户提交都在表单上填写一个图片上的随机字符串作为验证码。


zhi_Miss
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF攻击防御方法
段远山
04-24 2547
目前防御 CSRF 攻击主要有三种策略: 1、 验证 HTTP Referer 字段; 根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。对于每一个请求验证其 Referer 值 2、在请求地址中添加 token 并验证; 可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服...
防御CSRF的第四种方法?
weixin_34132768的博客
07-30 529
2019独角兽企业重金招聘Python工程师标准>>> ...
【 安全】什么是CSRF攻击?如何避免?开发的时候怎么预防?
最新发布
m0_61869253的博客
05-27 257
CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网站的恶意利用,也被称为 one-click attack或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF跨站点请求伪造(Cross—Site Request Forgery) 跟XSS攻击一样,存在巨大的危害性。
CSRF简单介绍与解决方法
qq_41024101的博客
01-24 1452
CSRF (Cross-site request forgery) 跨站请求伪造 知识点: 目前绝大多数网站采用的还是 session 会话任务的方式。session 机制简单的来说就是服务端使用一个键值对记录登录信息,同时在 cookie 中将 session id(即刚才说的键)存储到 cookie 中。 另外我们又知道浏览器中 HTTP(s) 请求是会自动帮我们把 cookie 带上传给服务端的。这样在每次请求的时候通过 cookie 获取 session...
django免除csrf校验
热门推荐
qq_42486675的博客
07-15 1万+
在django中默认启动csrf校验,当用户发起post请求时,必须携带csrf_token参数。如果不想使用csrf校验时,可以使用以下方式免除校验。以下方式都是在局部中使用,如果想全局禁用时,需要在settings文件中配置,这种方式不推荐使用。
五大方法减少跨站请求伪造(CSRF攻击
jazywoo_在路上
11-10 1245
你公司网络上的Web应用程序是否容易遭受跨站请求伪造攻击呢?这是一个值得讨论的问题,因为一次成功的CSRF攻击的后果往往是破坏性的,会花费公司的大量金钱,甚至导致机密信息丢失。   什么是CSRF(跨站请求伪造)?   CSRF攻击通过使应用程序相信导致此活动的请求来自应用程序的一个可信用户,从而诱使应用程序执行一种活动(如转移金融资产、改变账户口令等)。用户可以是公司的一位雇员,企业
在Django中预防CSRF攻击的操作
09-17
CSRF攻击是一种恶意利用用户已登录的身份进行非法操作的网络攻击方式,它通过伪装成用户来执行非用户意愿的操作,例如修改用户资料、进行支付等。为了保护用户的隐私和财产安全,Django提供了内置的CSRF防护机制。 ...
Flask模拟实现CSRF攻击的方法
09-20
5. 如果 WebA 没有对这类敏感操作进行 CSRF 防御攻击者的请求就会被服务器处理,从而导致用户账户受到影响。 ## 防止 CSRF 攻击措施 防止 CSRF 攻击通常采用以下方法: 1. **验证 Token**:服务器在生成页面...
CSRF攻击防御,Web安全的第一防线
01-27
CSRF(跨站请求伪造)攻击...总之,CSRF攻击是一种严重的安全威胁,开发者应当采取多种防御措施,如Token验证、Referer检查等,确保Web应用程序的安全性。同时,定期进行安全审计和漏洞扫描是预防CSRF攻击的关键步骤。
5分钟科普CSRF攻击防御,Web安全的第一防线
01-27
**三、CSRF攻击原理及过程** 1. 用户正常登录网站A,浏览器保存了A的Cookie。 2. 用户在未退出A的情况下访问恶意网站B。 3. 恶意网站B诱导用户发送带有A网站Cookie的请求。 4. 网站A接收到请求,认为是用户主动发起...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
**四、CSRF攻击原理及防御措施** CSRF攻击依赖于用户已登录的状态和浏览器自动发送的Cookie。攻击者可能会在用户不知情的情况下,构造携带用户Cookie的恶意请求。为了防止这种情况,Django的CSRF中间件会在每个请求...
什么是CSRF攻击,以及如何防御
weixin_41359273的博客
04-14 8643
什么是CSRF攻击,以及如何防御1.CSRF攻击的概念2.CSRF攻击简单案例2.1 银行网站项目2.2 危险网站的项目2.3 测试3.默认的CSRF防御策略4前后端分离的CSRF防御策略 1.CSRF攻击的概念 1.CSRF全称为Cross Site Request Forgery,跨域请求伪造。这是一种很常见的Web攻击方式,如下为一个简单的攻击流程。 1)假设用户打开了一个银行网站,并且登录了 2)登录成功后,会返回一个cookie给前端,浏览器将cookie保存下来 3)用户在没有登出银行网站的情况
CSRF防御
Leon_Jinhai_Sun的博客
05-22 320
CSRF攻击的根源在于浏览器默认的身份验证机制(自动携带当前网站的Cookie信息),这种机制虽然可以保证请求时来自用户的某个浏览器,但是无法确保这请求是用户授权发送。攻击者和用户发送的请求一模一样,这意味着我们没有办法去直接拒绝这里的某一个请求。如果能在合法清求中额外携带一个攻击者无法获取的參数,就可以成功区分出两种不同的请求,进而直接拒绝掉恶意请求。在 SpringSecurity 中就提供了这种机制来防御 CSRF 攻击,这种机制我们称之为令牌同步模式。 ...
csrf防护机制
凉茶铺的博客
07-17 2023
CSRF(Cross-siterequestforgery),中文名称跨站请求伪造你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括个人隐私泄露以及财产安全。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如。...
csrf漏洞防御方案_CSRF 漏洞原理详解及防御方法
weixin_35474374的博客
01-14 2942
跨站请求伪造:攻击者可以劫持其他用户进行的一些请求,利用用户身份进行恶意操作。例如:请求http://x.com/del.php?id=1是一个删除ID为1的账号,但是只有管理员才可以操作,如果攻击者把这个页面嵌套到其他网站中“http://x.com/del.php?id=1”> 再把这个页面发送给管理员,只要管理员打开这个页面,同时浏览器也会利用当前登陆的这个管理账号权限发出:http:...
关于CSRF攻击的原理以及防御措施
程序媛的梦工厂
03-31 1155
CSRF攻击的原理 1、用户M打开浏览器,访问受信任的网站A,输入用户名和密码登录网站A; 2、在用户信息通过验证之后,网站A产生cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未推出网站A之前,在同一浏览器打开一个新的tab访问网站B; 4、网站B接受到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点网站A; 5、浏览器接受到这些请求后...
CSRF防御
weixin_40010498的博客
03-21 4901
对于如何防范 CSRF,一般有三种手段。 1、判断请求头中的 Referer 这个字段记录的是请求的来源。比如 http://www.example.com 上调用了百度的接口 http://api.map.baidu.com/service 那么在百度的服务端,就可以通过 Referer 判断这个请求是来自哪里。 在实际应用中,这些跟业务逻辑无关的操作往往会放在拦截器中(或者说过滤器,不同技术使...
什么是SSRF以及如何预防?
jimmyleeee的专栏
05-12 1629
SSRF就是Server-side request forgery的简称,主要是指一个攻击者通过篡改诱导服务器发起一个没有授权的或者和业务实际需求目的不一致的请求,核心就是Server发起了一个攻击者伪造的请求。 关于伪造请求,就需要了解一个请求的几个组成部分,一个HTTP的主要组成部分如下: HTTP://IP|domainname:port/path?querystring 这里的请求伪造应该是包括这个请求里的任何一个组成部分,包括协议、IP或者域名、端口、路径以及查询参数。 协议 一般Web站
前端安全系列之二:如何防止CSRF攻击
weixin_34416754的博客
10-12 363
背景 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端...
"深入了解CSRF攻击防御
CSRF课程.pdf是一门全面深入讲解跨站请求伪造攻击的课程,课程内容涵盖了CSRF的概念、利用方法、预防措施等方面,通过学习这门课程,学生将能够全面了解CSRF攻击的原理和方法,掌握如何进行模拟攻击以及如何防御这种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值