前端面经 关于CSRF攻击的原理和防范

最新推荐文章于 2024-10-22 13:49:37 发布
最新推荐文章于 2024-10-22 13:49:37 发布
阅读量765 收藏 12
点赞数 26
分类专栏: 程序员 文章标签: 前端 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_84094979/article/details/138986803
版权

  • CSRF攻击的概念

  • CSRF原理

  • 方法一、验证HTTP Refer字段

  • 方法二、请求地址中添加token并验证

CSRF攻击的概念

========================================================================

CSRF:跨站点请求伪造(cross-site request forgery)。简单来说就是,攻击者借用受害者的身份,向有CSRF漏洞的网站发送恶意请求。

举个例子:

攻击者盗用了受害者的身份,然后借用这个身份发送请求,如转账、购买商品等等。

CSRF原理

=====================================================================

先在这个情节中设定三个对象:

  • 有CSRF漏洞的网站:WebA

  • 攻击者:WebB

  • 受害者:User

其中WebB是攻击者自己做的一个网站,是一个危险网站。

流程如下:

  1. 首先,User是网站WebA的用户,User访问并登录该网站;

  2. 登录验证后,网站WebA自然要给客户端User返回Cookie信息,并保存在浏览器或本地;

  3. User在没有退出WebA的情况下,又去访问了危险网站WebB;

  4. WebB接收到了User的请求,返回一些恶意代码。该恶意代码发出了要访问WebA的请求request;

  5. 因为WebB发出要访问WebA的请求,则带着还保存在浏览器/本地的Cookie,直接去访问WebA;

  6. 由于访问请求一定会带上Cookie给服务器端即WebA,且Cookie实际上已经被攻击者WebB盗用了,所以WebA却无法判断该请求是User还是攻击者WebB发出的。故WebB成功地盗用User的身份,拥有了User访问WebA的权限,以User的身份去访问WebA,以达到攻击的目的。

通过这个例子,我们可以发现,实际上Cookie是不那么安全的。

因为我们无法保证,自己在访问WebA的时候,不会去打开别的网站;也不能保证我们的Cookie信息会过期而不被攻击者盗用。

所以有下面三个方法去防范CSRF攻击

  • 验证HTTP Refer字段

  • 请求地址中添加token并验证

  • 使用验证码

方法一、验证HTTP Refer字段

=================================================================================

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。

因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!不论你是刚入门Android开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
ps://bbs.youkuaiyun.com/topics/618191877)

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

web前后端漏洞分析与防御(二)-CSRF
空默寒的博客-学习和积累
07-29 539
跨站请求伪造攻击CSRF(Cross Site Request Forgy) SRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:        攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统...
CSRF原理防范措施
weixin_33948416的博客
07-13 176
a)攻击原理: i.用户C访问正常网站A时进行登录,浏览器保存A的cookie ii.用户C再访问攻击网站B,网站B上有某个隐藏的链接或者图片标签会自动请求网站A的URL地址,例如表单提交,传指定的参数 iii.而攻击网站B在访问网站A的时候,浏览器会自动带上网站A的cookie iv.所以网站A在接收到请求之后可判断当前用户是登录状态,所以根据用户...
csrf攻击原理与解决方法
hengliang_的博客
09-10 5905
0x01前言 因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以往我们是从攻击角度分析这种攻击原理操作。这次我们给出攻击原理同时,给出CSRF在服务器端的防御的解决方案。CSRF是现代WEB程序要对的共通性问题,在很多流行的WEB框架中,都会将CSRF的问题直接在WEB框架层解决。 我们先抛出CSRF这个问题,然后介绍基于时间与签名的防护手段,并且给出的这种防御手段的具体代码实现。过程中使用了Lua语言进行实现功能, LUA是一种容易理解的脚本语言,大
必读篇!CSRF攻击原理与解决方法
Galaxy_0的博客
11-25 1549
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF具体表现为攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。
前端经.zip
03-17
"前端经.zip"这个压缩包很可能包含了某位开发者或多位开发者在试过程中的经验分享,包括常见问题、试技巧以及应对策略。虽然没有具体的标签信息,我们可以根据一般的前端试流程来探讨一些重要的知识点。 1....
腾讯云前端经(笔试+3技术+HR
2401_84433829的博客
05-04 814
对于框架原理只能说个大概,真的深入某一部分具体的代码实现方式就只能写出一个框架,许多细节注意不到。开源分享:【大厂前端试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】算法方还是很薄弱,好在试官都很蔼可亲,擅长发现人的美哈哈哈…(最好多刷一刷,不然影响你的工资成功率???在投递简历之前,最好通过各种渠道找到公司内部的人,先提前了解业务,也可以帮助后期优秀 offer 的决策。
一份详细前端经汇总(持续更新)
小白菜的博客
03-03 320
前端经汇总
腾讯云前端经(笔试+3技术+HR)(1)
2401_84433807的博客
05-04 801
技术栈比较搭,基本用过的东西都是一模一样的。快手终喜欢问智力题,校招也是终问智力题,大家要准备一下一些经典智力题。如果排列组合、概率论这些基础忘了,建议回去补一下。
前端安全之 CSRF 攻击原理防护方法
weixin_59124055的博客
06-13 6272
CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全理解需要系统的学习 Cookie,前端跨域,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击防护方法是前端进阶要去,我也希望大家
前端试笔记10:前端安全之 CSRF 攻击
qq_52287721的博客
01-01 2229
前端安全 CSRF 攻击 文章目录前端安全 CSRF 攻击什么是 CSRF 攻击CSRF 攻击的类型GET 类型的 CSRF 攻击POST 类型的 CSRF 攻击防范 CSRF 攻击的方法同源检测方法使用 CSRF Token 进行验证使用双重 Cookie 验证的方法设置 cookie 属性的时候设置 Samesite 什么是 CSRF 攻击CSRF 攻击指的是跨站请求伪造攻击攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求。如果用户在被攻击网站中保存了登录状态,那么攻击者就可
csrf攻击原理与解决方法_信息安全之CSRF攻击
weixin_39929377的博客
11-20 523
在之前的文章中我们介绍过XSS攻击 SQL 注入。没看过的小伙伴可以在专栏中以往的文章中查看。这两种攻击分别篡改了原始的 HTML SQL 逻辑,从而使得黑客能够执行自定义的功能。那么除了对代码逻辑进行篡改,黑客还能通过什么方式发起 Web 攻击呢?我们还是先来看一个例子。在平常使用浏览器访问各种网页的时候,是否遇到过,自己的银行应用突然发起了一笔转账,又或者,你的微博突然发送了一条内容?...
csrf攻击原理与解决方法_CSRF原理防范
weixin_39719732的博客
11-25 2044
目录-常见web安全问题CSRF (Cross—Site Request Forgery),既跨站点请求伪造,也被叫做 XSRF, XSS 一样也是一种比较常见的 web 攻击。SRF攻击者会过过构造的第三方页诱导受害者完成加载或者点击,利用受害者的权限,以其身份向合法网站发起恶意请求,通常用户发生状态改变的请求,比如虚拟货币的转账,账号信息修改,恶意发邮件等等,由于具有一定的隐蔽性,所以比较...
csrf攻击原理与解决方法_WEB安全之CSRF
weixin_39909212的博客
11-20 1660
大家好,我是阿里斯,一名IT行业小白。今天分享的内容是CSRF相关知识,不求表哥们打赏,只求点点在看,点点转发。CSRF漏洞概述CSRF(Cross-Site Request Forgery),中文名为跨站请求伪造,是一种Web攻击方式。该漏洞是一种挟持用户在当前已登录的Web应用程序上执行非本意操作的攻击方法。通俗点说就是恶意攻击者窃取了你在某个网站的身份,以你的名义发送恶意请求。CS...
CSRF攻击原理以及解决方案
The-Dean的博客
08-19 1451
CSRF攻击原理:你访问了信任网站 A,然后 A 会用保存你的个人信息并返回浏览器一个cookie,然后在 cookie 的过期时间之内,你去访问了恶意网站 B,它给你返回一些恶意请求代码,要求你去访问网站 A,而你的浏览器在收到这个恶意请求之后,在你不知情的情况下,会带上保存在本地浏览器的 cookie 信息去访问网站 A,然后网站 A 误以为是用户本身的操作,导致来自恶意网站 B 的攻击代码会被执:发邮件,发消息,修改你的密码,购物,转账,偷窥你的个人信息,导致私人信息泄漏账户财产安全收到威胁。 解决
CSRF攻击原理与解决方法(非常详细),零基础入门到精通,看这一篇就够了
最新发布
xiangxue666的博客
10-22 1190
CSRF攻击原理与解决方法(非常详细),零基础入门到精通,看这一篇就够了
csrf攻击原理与解决方法_xss攻击原理与解决方法
weixin_39755136的博客
11-20 211
目录-常见web安全问题概述XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列 表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还其他攻击方式同时实 施比如SQL注入攻击服务器数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是w...
csrf攻击原理与解决方法_动图get磁翻板液位计原理及指示异常的判定解决方法...
weixin_39743695的博客
11-26 384
磁翻板液位计可用于各种塔、罐、槽、球型容器锅炉等设备的介质液位检测。磁翻板液位计可以做到高密封,防泄漏适用于高温、高压、耐腐蚀的场合。它弥补了玻璃板(管)液位计指示清晰度差、易破裂等缺陷,且全过程测量无盲区,显示清晰、测量范围大。磁翻板液位计,其安全性较之于其他类型的液位仪表有着更多的优势,因为其是液位的就地显示不依赖于其他的电子装置便可实现,并且稳定可靠,波动小,现已经广泛应用于热...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值