Web前端安全策略之CSRF的攻击与防御

2501_90253073

于 2025-01-18 19:16:26 发布

阅读量875

点赞数 23

文章标签：前端 csrf

本文链接：https://blog.youkuaiyun.com/2501_90253073/article/details/145231272

版权

跨站请求伪造（CSRF）

跨站请求伪造，英文全称为Cross Site Request Forgery ，缩写CSRF，这种攻击模式用通俗易懂的话来讲就是：攻击者借用你的用户身份，来完成一些需要依靠用户信息来完成的事情，例如转账、发送邮件……

（1）跨站请求伪造的例子

我们来以转账为例，假设下面是一个转账支付页面：

在这里插入图片描述

这一段转账的流程很重要，一定要看懂：

只要用户登录了自己的账户，这个支付页面就会显示用户的名称、以及余额，在下面的表单里，只要填上目标账户名（target_user）以及转账金额（money），点击提交，客户端就会将 target_user 和 money 两个参数发送给服务器。
服务器接收到该请求，并且接收到了这两个参数。然后判断转账用户是否已登录（实质就是判断客户端是否有该用户的cookie信息），是的话就将该账户里的余额转一定金额（money）给目标账户（target_user），这样就完成了钱的转账。

我们了解完正常的转账流程&#

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

2501_90253073

关注关注

23
点赞
踩
21

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Java Web 应用的 CSRF 攻击原理与防御策略：保护用户会话安全

shrgegrb的博客

05-15

743

CSRF（跨站请求伪造）攻击是一种利用用户身份认证信息，未经授权执行非用户本意操作的攻击方式。攻击者通过诱导已登录用户访问恶意页面，借助用户的身份向目标应用发送请求，从而执行非法操作。为防御CSRF攻击，Java Web应用可采取以下策略：1. CSRF Token：服务器为每个请求生成唯一Token，并在处理请求时验证Token的有效性；2. SameSite Cookie属性：通过设置SameSite属性限制Cookie在跨站请求时的行为；3. 验证HTTP请求头：检查请求头中的“Referer”字段，

CSRF漏洞原理攻击与防御超详细

最新发布

qq_48368964的博客

08-13

1511

CSRF（Cross-Site Request Forgery，跨站点伪造请求）是一种网络攻击方式，该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在未授权的情况下执行在权限保护之下的操作，具有很大的危害性。具体来讲，可以这样理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。

参与评论您还未登录，请先登录后发表或查看评论

web安全（xss/csrf）简单攻击原理和防御方案（实战篇）

m0_71744044的博客

01-29

254

最近在学习node，就顺便写了web安全攻击的示例以及解决方案。

WEB攻击之CSRF攻击与防护

aabbyyz的博客

10-18

394

分享一下我的偶像大神的人工智能教程！http://blog.youkuaiyun.com/jiangjunshow 也欢迎转载我的文章，转载请注明出处 https://blog.youkuaiyun.com/aabbyyz 原文地址：https://www.daguanren.cc/post/csrf-introduction.html CSRF 背景与介绍 CSRF定义：...

前端安全之CSRF

weixin_34355881的博客

10-21

172

一、跨站点请求伪造（CSRF）什么是csrf呢？借助用户的身份去做有损用户利益（一些事情）的事情。怎么实现跨站点请求伪造呢？ 1、伪造者通过创造一个带有<a href="">或<img src="">标签地址指向伪造者创建的url的网页比如： <a href=...

CSRF攻击

weixin_42606458的博客

03-02

1311

对于常规的Web攻击手段，如XSS、CRSF、SQL注入、（常规的不包括文件上传漏洞、DDoS攻击）等，防范措施相对来说比较容易，对症下药即可，比如XSS的防范需要转义掉输入的尖括号，防止CRSF攻击需要将cookie设置为httponly，以及增加session相关的Hash token码，SQL注入的防范需要将分号等字符转义，等等做起来虽然筒单，但却容易被忽视，更多的是需要从开发流程上来予以...

前端安全实践：揭秘CSRF攻击与防护策略

"前端安全：如何防止CSRF攻击？" 前端安全是现代互联网应用程序开发中的重要环节，尤其是在移动互联网时代，各种安全问题层出不穷。CSRF（跨站请求伪造）攻击是一种针对Web应用的安全威胁，它利用用户的登录状态，...

同源政策/跨域与跨域解决策略/web安全攻击CSRF以及XSS

darabiuz的博客

02-11

3342

1.同源策略 1. 什么是同源同源策略是浏览器安全的基石，当前网页的url和ajax请求地址的url必须同源，它要求协议、域名、端口号三者必须相同，只要有一处不同就属于跨域 2. 为什么要有同源策略想象这样一个场景，你登录并信任了一个购物网站A，然后在没有退出的情况下登陆了恶意网站B，由于浏览器携带了cookie信息，那么B就可以冒充用户向A网站发送请求，比如购买物品之类的违背用户预期的恶意行为，带来严重影响，这其实也就是平时所说的CSRF攻击（具体见下文对于CSRF的介绍），由来同源策略以后，主要限制

CSRF防御

代码搬运工

08-08

524

CSRF（Cross-site request forgery跨站请求伪造，也被称成为“one click attack”或者session riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。 1 CSRF攻击原理 CSRF攻击原理比较简单，如图1所示。其中Web A为存在CSRF漏洞的网站，Web B为攻击者构建的恶意网站，User C为Web A网站的合法...

XSS的攻击及防御代码的简单演示

04-25

这个是XSS的攻击及防御代码的简单演示，利用Node搭建的

CSRF攻击：简单服务器防御

玩具熊猫的博客

01-22

531

CSRF（Cross-site request forgery）跨站请求伪造，攻击原理及详细的防御方法：浅谈CSRF攻击方式CSRF的防御： CSRF的防御可以从服务端和客户端两方面着手，防御效果是从服务端着手效果比较好，现在一般的CSRF防御也都在服务端进行。服务端的CSRF防御方法很多样，但总的思想都是一致的，就是在客户端页面增加伪随机数。 1.Cookie Hashing(所有表单都包含同...

Web安全策略之CSRF防御

Spontaneous_0的博客

01-15

286

Web安全策略之CSRF防御

web渗透测试----14、CSRF（跨站请求伪造攻击）

七天

03-25

3893

文章目录一、CSRF概述二、CSRF攻击条件1、相关操作2、基于Cookie的会话处理3、没有不可预测的请求参数三、CSRF的防御1、验证请求的Referer值2、CSRF Token3、验证码等验证业务过程的方式四、基于Token的CSRF1、CSRF令牌的验证取决于请求方法2、CSRF令牌的验证取决于令牌是否存在3、CSRF令牌未绑定到用户会话4、CSRF令牌绑定到非会话cookie5、CSRF令牌只是在Cookie中重复五、基于Referer的CSRF1、Referer的验证取决于请求头是否存在2、是

浅谈Web前端安全策略xss和csrf，及又该如何预防？

WLsweety的博客

02-09

224

跨站脚本攻击，缩写为XSS(Cross Site Scripting)，是利用网页的漏洞，通过某种方式给网页注入恶意代码，使用户加载网页时执行注入的恶意代码。跨站请求伪造(Cross-site request forgery)，也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF，是一种挟制用户在当前已登录的 Web 应用程序上执行**非本意的操作**的攻击方法。如：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。

Jquery如何使用csrf

PlusChang的博客

10-21

2238

var csrftoken = $.cookie('csrftoken'); function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.tes

CSRF攻击和防御（写的超详细）

weixin_49071539的博客

12-15

2326

当小绿登录正常网站服务器（VULNERABLE WEBSERVER)，进行某些操作，操作完成之后没有退出，继续访问了另一个存在病毒的网站（MALUCIOUS WEBSUITE)；因为正常网站存在CSRF漏洞，正常网站的WEB服务器验证不够，当前网站的验证方式只是验证的用户的session存在，那么他就是一个已经登录的状态，但是没有办法保证某一次请求就是当前用户触发的。在现在的一些app或者是网页中，在交易时会输入一个短信验证码，但是有一些网站并不是属于金额交易的，所以就并没有做这些设置，那如何组织这种.

常见web攻击防范（CSRF跨站请求伪造）

Galaxy_0的博客

01-17

380

常见web攻击防范（CSRF跨站请求伪造）

浅谈CSRF及防御

qq_44885374的博客

02-25

298

什么是CSRF CSRF（跨站请求伪造）通过伪造来自受信任的用户的请求来利用受信任的网页。 CSRF原理用户进入浏览器，访问受信任的银行网站，输入用户名和密码进行登录。服务器验证成功，用户登录成功可以正常发送请求。此时，用户在同一个浏览器上，打开一个TAB页访问页面B。页面B被黑客注入了诱导信息，假如是一张图片，指向src=”http://bank.example/withdraw?a...