如何使用 Apache APISIX CSRF 安全插件拦截跨站点伪造攻击

最新推荐文章于 2025-09-01 20:50:32 发布
原创 最新推荐文章于 2025-09-01 20:50:32 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #apache #csrf

本文详述了 Apache APISIX 中的 CSRF 安全插件,用于防止跨站点请求伪造攻击。插件基于RFC 7231的安全方法,通过创建不可伪造的token进行请求校验,确保API安全。文章介绍了配置插件、开启路由、测试请求以及禁用插件的步骤,帮助开发者理解如何利用此插件增强应用安全性。

CSRF(Cross-Site Request Forgery),即跨站点请求伪造。发起跨站点请求伪造攻击的关键点在于让目标服务器无法分辨众多请求的来源是真实用户还是攻击者。攻击的一般流程为:首先攻击者会诱导用户导航至攻击者提供的网页上。该网页包含一个自动发送到目标服务器的请求。然后该网页正常加载,这个请求就会自动发送至服务器。在服务器看来,这个请求和用户正常发送的请求一模一样,殊不知这是由攻击者发起,而用户却毫不知情。由于该请求携带了用户的一些凭据,攻击者通过解析这些凭据,就可以获取用户信息,进而产生安全风险。

本文介绍了 Apache APISIX 的 CSRF 安全插件 csrf,并详细说明如何在 Apache APISIX 中借助 csrf 插件来保护您的 API 信息安全。

插件介绍

csrf 插件基于 Double Submit Cookie 方案实现。根据 RFC 7231#section-4.2.1 的定义,我们把 GETHEADOPTIONS 这三种方法称为安全方法。按照这一约定,csrf 插件会直接放行这三种方法,但会对其他的方法做检查并拦截其中的不安全请求。

为了抵御 CSRF 攻击,我们需要制造一个无法伪造的令牌或标识符,并且保证这个不会与攻击者的请求一起发送。用户需要将 csrf 插件依赖的 token 携带在请求头,token 使用密钥进行签名计算。这样就保证了 token 无法被他人伪造,从而保证了 API 的安全。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yyZwLqQV-1645607360060)(https://tfz

最低0.47元/天 解锁文章
Apache APISIX 2.13.0 发布
ApacheAPISIX的博客
03-29 5959
今天,Apache APISIX 社区带来了一个全新的 LTS 版本——2.13.0。该 LTS 版本不仅性能更加稳定,而且支持了更多的可观测性、服务发现插件和更完善的多语言开发体系。
校验Referer头,防范CSRF(跨站请求伪造)攻击拦截
weixin_30251587的博客
10-19 1995
publicfinalstaticStringdomainName="192.168.2.123"; Java代码 packagecom.web.interceptors; importorg.apache.log4j.Logger; importorg.apache.struts2.ServletAc...
CSRF Token Thacker 插件
haha1314的博客
04-23 843
1、利用awvs,csrf高级别做实验。 因为有token,每次重放之后都会跳转,不会执行成功。 2、安装CSRF Token Thacker 插件 3、配置 name:返回包的token的name。 重放成功。 ...
mod_csrf:防止跨站请求伪造Apache 模块。-开源
05-30
mod_csrfApache Web 服务器的模块。 它可以防止对易受攻击的 HTML 表单进行跨站请求伪造攻击
Apache APISIX防ReDoS攻击完全指南:正则表达式安全防护实战
最新发布
gitblog_00257的博客
09-01 692
当用户请求包含恶意构造的正则表达式时,你的API网关是否会陷入无限循环?2024年某电商平台因未防护ReDoS攻击导致服务中断3小时,直接损失超千万元。Apache APISIX作为云原生API网关,内置三大防护机制为你的服务筑起安全屏障。本文将详解如何利用APISIX防御正则表达式拒绝服务(ReDoS)攻击,让你在5分钟内掌握配置方法。 ## 一、什么是ReDoS攻击? 正则表达式拒绝服务攻...
csrf校验插件-js
05-03
使用插件可以在使用js向后端提交数据时进行csrf校验
CSRF拦截
dency
02-01 1039
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 事实上在我经历过的银行项目开发过程中,基本都会采用 spring 框架,所以完全可以不用自己开发 filter 去拦截 csrf 攻击的请求,而直接采用实现 spring 提供的 HandlerInter...
常见Web安全问题及解决方案(XSS、SQL注入、CSRF攻击、Session劫持)
m0_56344834的博客
11-03 1965
​无时无刻不存在网络攻击,其中XSS攻击和SQL注入攻击是网站应用攻击的最主要的两种手段,全球大约70%的网站应用攻击都来自XSS攻击和SQL注入攻击。此外,常用的网站应用攻击还包括CSRF、Session劫持等。 常见相应的防御策略,如输入消毒、表单Token、Cookie、参数绑定等。此外,还应注意网站安全漏洞扫描和信息加密技术,以及网站安全防护中预防和及时更新防护措施的重要性。
Web安全基础:跨站脚本攻击(XSS)与防范
这些安全威胁包括但不限于跨站脚本攻击(XSS)、SQL注入、跨站请求伪造CSRF)等。 ### 1.2 Web安全的重要性 Web安全的重要性在于保护用户的隐私信息、防止数据泄露、阻止恶意软件传播,保护
APISIX 联动雷池 WAF 实现 Web 安全防护
lolomartin的博客
09-30 977
Apache APISIX 是一个动态、实时、高性能的云原生 API 网关,提供了负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。
java拦截csrf攻击_spring security 防CSRF攻击
weixin_30861557的博客
02-27 670
一.介绍:CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。为了防止跨站提交攻击,通常会配置csrf。Spring Security 为了防止跨站提交攻击提供了CSRF保护功能,该功能在Spring Security 3时就已经存在,默认是...
跨站请求伪造CSRF
weixin_40270125的博客
05-11 5516
CSRF的全名是Cross Site Request Forgery,翻译成中文就是跨站请求伪造。 1)CSRF 简介 什么是CSRF呢?我们先看一个例子。 在介绍XSS Payload时那个“删除搜狐博客”的例子,登录Sohu博客后,只需请求这个URL,就能把编号为“156713012”的博客删除。 http://blog.sohu.com/manage/entry.do?m=...
Apache APISIX 实战教程:使用限流插件保护你的API
gitblog_00602的博客
06-02 554
在现代微服务架构中,API网关作为系统的入口,承担着重要的安全防护职责。Apache APISIX作为高性能API网关,提供了丰富的插件体系来保护后端API服务。本文将深入讲解如何使用APISIX的限流插件来保护你的API免受异常流量冲击。 ## 为什么需要API保护 API服务面临的主要威胁包括: 1. **异常访问**:如异常流量、频繁请求等 2. **异常流量**:突发流量可能导致服务...
使用Postman Interceptor插件解决REST客户端的post请求的CSRF
cleverlzc的专栏
09-18 3764
1、Postman Interceptor使用方法: http://www.cnplugins.com/devtool/postman-interceptor/detail.html 2、springmvc-show-case的CSRF例子,get请求返回的部分: Used for including CSRF token in JSON requests Al
前端安全系列之二:如何防止CSRF攻击
qq_53058639的博客
01-02 1290
CSRF(Cross-site request forgery)跨站请求伪造攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
WEB安全入门:如何防止 CSRF 攻击
AzulSystems的博客
02-19 1678
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。
如何防御CSRF
2301_80124151的博客
02-20 913
比如:我对所有的登录用户提供一个token的cookie,同时,对于提交前的请求,把一个加密的token值(如: md5(token))放到提交表单中,用<input type="hidden" name="sign" value="sign_token">来隐藏。这时候,攻击者就伪造了一个网站B的提交链接,在网站A上发了个贴子,贴子里的图片(或者链接)的地址,就是网站B的提交链接。a、如果网站B是一个类似银行这样的财务网站,而post又是一个类似转账这样的接口,那对于用户来讲,就。
APISIX 安全评估
weixin_40418457的博客
06-16 672
文章首发于火线Zone:https://zone.huoxian.cn/?sort=newest 作者:leveryd 背景 有大佬已经对 apisix攻击面 做过总结。 本文记录一下自己之前的评估过程。 分析过程 评估哪些模块? 首先我需要知道要评估啥,就像搞渗透时,我得先知道攻击面在哪里。 根据文档,可以知道apisix项目包括很多系统,包括: 网关 dashboard ingress控制器 各种sdk sdk即使有漏洞,攻击场景也感觉有限,所以没有评估。 "ingress控制器&quo
构建安全的Web站与资源下载指南
1. **Web应用安全基础**:这包括对常见的Web安全漏洞的理解,如SQL注入(SQL Injection)、跨站脚本攻击(XSS)、跨站请求伪造CSRF)等。开发者需要了解这些攻击的原理,并掌握相应的防御机制,例如使用参数化查询...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

API7.ai 技术团队

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值