CSRF XSS(XSRF) CORS OPTIONS(HTTP)概念理解

最新推荐文章于 2025-08-28 23:35:47 发布
原创 最新推荐文章于 2025-08-28 23:35:47 发布 · 2.6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #xsrf

本文探讨了XSS(跨站脚本)和CSRF(跨站请求伪造)两种常见的网络安全威胁。介绍了XSS的工作原理及其防御措施,如启用模版引擎的默认转义功能。此外还讲解了CSRF的基本概念及如何通过请求方法、令牌验证等手段来防止此类攻击。

XSS

XSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。

我们不需要用户输入 HTML 而只想让他们输入纯文本,那么把所有用户输入进行 HTML 转义输出是个不错的做法。似乎很多 Web 开发框架、模版引擎的开发者也发现了这一点,Django 内置模版和 Jinja2 模版总是默认转义输出变量的。

大多数 Web 开发者都了解 XSS 并知道如何防范,往往大型的 XSS 攻击都是由于疏漏。我个人建议在使用模版引擎的 Web 项目中,开启(或不要关闭)类似 Django Template、Jinja2 中“默认转义”(Auto Escape)的功能。在不需要转义的场合,我们可以用类似 的方式取消转义。这种白名单式的做法,有助于降低我们由于疏漏留下 XSS 漏洞的风险。

XSS 是实现 CSRF 的诸多途径中的一条,但绝对不是唯一的一条。一般习惯上把通过 XSS 来实现的 CSRF 称为 XSRF

CSRF

CSRF 并不一定要有站内的输入,因为它并不属于注入攻击,而是请求伪造。被伪造的请求可以是任何来源,而非一定是站内。所以我们唯有一条路可行,就是过滤请求的 处理者。

对于发布帖子这一类创建资源的操作,应该只接受 POST 请求,而 GET 请求应该只浏览而不改变服务器端资源。当然,最理想的做法是使用 REST 风格 的 API 设计,GET、POST、PUT、DELETE 四种请求方法对应资源的读取、创建、修改、删除。现在的浏览器基本不支持在表单中使用 PUT 和 DELETE 请求方法,我们可以使用 ajax 提交请求。也可以使用隐藏域指定请求方法,然后用 POST 模拟 PUT 和 DELETE (Ruby on Rails 的做法)。这么一来,不同的资源操作区分的非常清楚

令牌方法
首先服务器端要以某种策略生成随机字符串,作为令牌(token), 保存在 Session 里。然后在发出请求的页面,把该令牌以隐藏域一类的形式,与其他信息一并发出。在接收请求的页面,把接收到的信息中的令牌与 Session 中的令牌比较,只有一致的时候才处理请求,否则返回 HTTP 403 拒绝请求或者要求用户重新登陆验证身份。

CORS

CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

简单的说即为浏览器限制访问A站点下的js代码对B站点下的url进行ajax请求。比如说,前端域名是www.abc.com,那么在当前环境中运行的js代码,出于安全考虑,访问www.xyz.com域名下的资源,是受到限制的。现代浏览器默认都会基于安全原因而阻止跨域的ajax请求,这是现代浏览器中必备的功能,但是往往给开发带来不便。

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

只要同时满足以下两大条件,就属于简单请求。

1) 请求方法是以下三种方法之一:
HEAD
GET
POST
(2)HTTP的头信息不超出以下几种字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。

Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。

如果Origin指定的源,**不在许可范围内**,服务器会返回一个正常的HTTP回应。如果这个回应的头信息没有包含Access-Control-Allow-Origin字段,就知道出错了,从而抛出一个错误,被XMLHttpRequest的onerror回调函数捕获。这种错误无法通过状态码识别,因为HTTP回应的状态码有可能是200


如果Origin指定的域名**在许可范围内**,服务器返回的响应,会多出几个头信息字段。

1)Access-Control-Allow-Origin
该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。
(2)Access-Control-Allow-Credentials
该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。
(3)Access-Control-Expose-Headers
该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。上面的例子指定,getResponseHeader('FooBar')可以返回FooBar字段的值。

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。

浏览器发现,这是一个非简单请求,就自动发出一个”预检”请求,要求服务器确认可以这样请求。

“预检”请求用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。
除了Origin字段,”预检”请求的头信息包括两个特殊字段。
(1)Access-Control-Request-Method
该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法,上例是PUT。
(2)Access-Control-Request-Headers
该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段,如:X-Custom-Header。

HTTP回应中,关键的是Access-Control-Allow-Origin字段,表示http://api.bob.com可以请求数据。该字段也可以设为星号,表示同意任意跨源请求。

否定了”预检”请求,会返回一个正常的HTTP回应,但是没有任何CORS相关的头信息字段。这时,浏览器就会认定,服务器不同意预检请求,因此触发一个错误,被XMLHttpRequest对象的onerror回调函数捕获。

网络安全杂谈- CORS/CSRF/XSS
wuli1024的博客
01-08 1993
出于浏览器的同源策略限制,浏览器会拒绝跨域请求。同源: 域名、端口、协议都相同,称为同源。
Web开发中的 XSSCSRF/XSRFCORS
weixin_45678031的博客
06-09 694
XSS 跨站脚本攻击 向正常网站的表单中注入恶意脚本代码,窃取网站私有内容,比如窃取cookies、localstorage、sessionstorage的内容。 防御策略 设置cookies为HttpOnly 使cookie不可被js读取操作。 CSRF/XSRF 跨站请求伪造 诱导用户在恶意网站内点击链接,链接请求正常网站的功能业务,会自动携带正常网站的cookies,在用户不知情的情况下完成一些操作。 防御策略 健强服务端逻辑,严格restful风格,可以防御一些低端的攻击。 利用请求头中的refe
XSSCSRFCORS简介
weixin_68531269的博客
10-26 1208
如果两个 URL 的 协议、端口 (如果有指定的话) 和 主机都相同的话,则这两个 URL 是同源。这个方案也被称为“协议/主机/端口元组”,或者直接是“元组”。(“元组”是指一组项目构成的整体,双重/三重/四重/五重/等的通用形式)。
XSRFXSS+CSRF
weixin_30415801的博客
07-09 316
示例: 基本注入的时候,引入js文件。fish.js文件内容如下 $.post('http://localhost:3000/api/transfer', {user: 'zfkt', mone: 500}) 在表单中插入以下代码 <script src="http://locahost:3000/fish.js"></script> 转载于:...
XSSCSRF/XSRFCORS介绍
LC的博客
03-24 1545
XSSCSRF/XSRFCORS介绍1 XSS1.1 名词解释1.2 作用原理1.3 防范措施2 CSRF/XSRF2.1 名词解释2.2 作用原理2.3 防范措施2.3.1 验证码2.3.2 Referer Check2.3.3 添加 token 验证(token==令牌)3 CORS3.1 名词解释 1 XSS 1.1 名词解释 XSS,即:Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和网站前端技术领域——层叠样式表(Cascading Style Sheet
浏览器安全之XSSCSRF
baidu_33569474的博客
10-28 388
同源策略 同源策略可以隔离各站点之间的 DOM 交互、页面数据和网络通信 严格的同源策略会带来更多的安全,但是也束缚了WEB 这就需要在安全与自由之间找到一个平衡点 于是默认页面中可以引用任意第三方资源,然后又引入CSP策略来加以限制 默认XMLHttpRequest和Fetch不能跨站请求资源,然后又通过CORS策略来支持其跨域 但与此同时,也就带来了很多安全问题,比如 XSS 攻击和CSRF攻击 XSS 跨站脚本攻击,指黑客往HTML文件或者DOM中注入恶意脚本,从而在用户浏览页面时利用注
CORSCSRF--学习笔记
weixin_45951911的博客
12-04 4157
一、CORSCSRF 区别 两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍: CORS : Cross Origin Resourse-Sharing 跨站资源共享 CSRF : Cross-Site Request Forgery 跨站请求伪造 XSS : Cross Site Scrit 跨站脚本攻击(为与 CSS 区别,所以在安全领域叫 XSS) 二、CORS 1、概念 跨来源资源共享(CORS),亦译为跨域资源共享,是一份浏览器技术的规范,提供了 Web服
Web前端安全问题:XSS攻击、CSRF攻击、点击劫持
yinqian_Golang的博客
05-15 5649
文章目录前端有哪些攻击方式?1. XSS攻击XSS 本质原理XSS分类防御 XSS 攻击如何去检测XSS攻击,怎么知道自己的页面是否存在XSS漏洞?2. CSRF典型的CSRF攻击流程:CSRF的特点如何防范CSRF攻击?3. 点击劫持典型点击劫持攻击流程 【面试篇】寒冬求职之你必须要懂的Web安全 前端有哪些攻击方式? XSS攻击、CSRF攻击、点击劫持 1. XSS攻击 XSS(Cross...
同源政策/跨域与跨域解决策略/web安全攻击CSRF以及XSS
darabiuz的博客
02-11 3412
1.同源策略 1. 什么是同源 同源策略是浏览器安全的基石,当前网页的url和ajax请求地址的url必须同源,它要求协议、域名、端口号三者必须相同,只要有一处不同就属于跨域 2. 为什么要有同源策略 想象这样一个场景,你登录并信任了一个购物网站A,然后在没有退出的情况下登陆了恶意网站B,由于浏览器携带了cookie信息,那么B就可以冒充用户向A网站发送请求,比如购买物品之类的违背用户预期的恶意行为,带来严重影响,这其实也就是平时所说的CSRF攻击(具体见下文对于CSRF的介绍),由来同源策略以后,主要限制
【全栈修炼】CORSCSRF修炼宝典
pingan8787
11-17 724
《全栈修炼》系列 《【全栈修炼】OAuth2修炼宝典》 CORSCSRF 太容易混淆了,看完本文,你就清楚了。 一、CORSCSRF 区别 先看下图: 两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍: CORS : Cross Origin Resourse-Sharing 跨站资源共享 CSRF : Cross-Site Request Forgery...
10分钟内完成示例的CORSXSSCSRF
专业的开发者“讨论”
06-03 979
本文应该是您使用现有Web安全标准,最常见的Web攻击及其&...
CSRF超级细致的讲解哇
wo41ge的博客
09-21 720
Cookie 属性 key 值 value 键 expires Cookie的持续时间 有效时间 domain Cookie的有效域名 path 哪些路径会携带Cookie secure httponly samesite 防止csrf的攻击 同源策略 域名 协议和端口相同 传统的csrf拿不到数据 (服务端)跨站请求伪造:Cross-Site Request Forgery 客户端请求伪造:Client-Side Request Forgery 即通过各种方式在客服端利用受害者的凭证发起请求 既
web的安全性(XSSXSRF/CSRF的攻击和防范)
winne雪
12-10 1013
一、XSS 跨站脚本攻击(也称为XSS(cross-site scripting 的缩写))指利用网站漏洞从用户那里恶意盗取信息。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本js。 1、攻击方式举例: 在文章中发表评论的时候偷偷插入一段&amp;amp;lt; script&amp;amp;gt;…&amp;amp;lt; /scr...
Scalar安全头:CSP、CORSXSS防护配置指南
gitblog_00378的博客
08-28 568
在现代Web应用开发中,API文档的安全防护往往被忽视,却可能成为攻击者入侵的薄弱环节。Scalar作为现代化的API文档工具,提供了完善的安全头配置机制,帮助开发者构建坚不可摧的API文档门户。 > 据统计,超过60%的Web应用安全漏洞源于错误的安全头配置。本文将深入解析Scalar的安全防护体系,助你打造企业级安全的API文档。 ## 核心安全威胁与防护策略 ### 1. XSS(跨站...
什么是 HTTP 请求中的 options 请求?
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
10-03 4237
OPTIONS 请求作为 HTTP 方法中的一种,扮演着极为重要的角色,尤其是在跨域请求和 API 开发中。它为客户端提供了与服务器进行沟通和协商的手段,使得前后端的交互更加安全和灵活。开发者需要对 OPTIONS 请求的工作原理有清晰的理解,特别是在 CORS 场景下,通过正确配置服务器的 CORS 头部,可以确保前端应用的稳定运行。
前端安全之xssxsrf
qq_41801117的博客
03-27 4585
提到前端安全,往往离不开xss(跨站脚本攻击)xsrf(跨站伪造请求),在此记录一下关于前端安全的学习过程。 什么是xss? 跨站脚本攻击(Cross Site Scripting),为了不和css(层叠样式表)混淆,故记为xss。其原理是利用用户对某个指定网站的信任,被恶意用户进行了web攻击(通常这种攻击会利用js实现)。 简单攻击场景 某用户A逛网站时发现某可以分享文章的论坛,非常感兴趣,写下以下文章 用户A:你好,我是用户A,<script>alert(3)</script&gt
前端安全之XSS攻击(跨域脚本攻击)
业余丰富各种技术栈
08-18 2万+
前端安全之XSS攻击,以及常用防范XSS攻击的解决方案
JavaScript安全性:XSSCSRFCORS等常见的安全漏洞及其解决方案
tyxjolin的专栏
05-08 5135
开发人员应该采取适当的措施来保护他们的应用程序免受这些漏洞的影响,包括过滤和验证用户输入、使用安全的JavaScript库和框架、使用CSRF令牌和配置CORS等。本文将介绍几种常见的JavaScript安全漏洞,包括XSSCSRFCORS,并提供解决方案以保护您的应用程序免受这些漏洞的影响。例如,一个攻击者可能会发送一个包含修改用户密码的请求,而这个请求看起来是来自用户自己的浏览器,因此网站可能会对请求进行处理并修改用户密码。由于浏览器的同源策略,一般情况下,跨域请求是不允许的。
CSRF攻击与防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。java程序部署的解决方案
最新发布
09-19
<think> 我们继续讨论Java程序中防御CSRF攻击的解决方案。根据之前的讨论,我们已经了解了CSRF攻击的原理和一般的防御策略。现在,我们重点关注Java环境下的具体实现方式。 ### Java程序防御CSRF攻击的解决方案 #### 1. 使用框架内置的CSRF防护 现代Java Web框架通常内置了CSRF防护机制,以下以Spring Security为例: **Spring Security配置** ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() // 启用CSRF防护 .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); // 将Token存储在Cookie中(前端可读取) } } ``` - **工作原理**:Spring Security会自动生成CSRF Token,存储在`XSRF-TOKEN` Cookie中,并要求所有修改状态的请求(POST/PUT/DELETE)必须在请求头或参数中包含该Token(默认头名`X-XSRF-TOKEN`)[^1]。 **前端集成示例**(Angular): ```javascript // Angular自动识别XSRF-TOKEN Cookie并添加到请求头 this.http.post('/transfer', data).subscribe(); ``` #### 2. 手动实现CSRF Token验证 对于非Spring框架的应用,可手动实现: **服务端生成Token** ```java public class CsrfUtil { public static String generateToken() { return UUID.randomUUID().toString(); } } // 在会话中存储Token request.getSession().setAttribute("csrfToken", CsrfUtil.generateToken()); ``` **JSP表单嵌入Token** ```jsp <form action="/transfer" method="post"> <input type="hidden" name="csrfToken" value="${sessionScope.csrfToken}"> <input type="text" name="amount"> </form> ``` **过滤器验证Token** ```java public class CsrfFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpReq = (HttpServletRequest) req; HttpSession session = httpReq.getSession(false); // 仅验证非安全方法(POST/PUT/DELETE) if ("POST".equalsIgnoreCase(httpReq.getMethod())) { String sessionToken = (String) session.getAttribute("csrfToken"); String requestToken = httpReq.getParameter("csrfToken"); if (sessionToken == null || !sessionToken.equals(requestToken)) { throw new ServletException("CSRF token验证失败"); } } chain.doFilter(req, res); } } ``` #### 3. SameSite Cookie防御(Tomcat 8.5+) 在`context.xml`中配置: ```xml <Context> <CookieProcessor sameSiteCookies="strict" /> </Context> ``` - **效果**:浏览器发送请求时不会携带第三方Cookie,彻底阻断CSRF利用途径[^2]。 #### 4. 关键操作二次验证 对于敏感操作强制二次认证: ```java // 转账前的密码确认 public class TransferController { public void confirmTransfer(HttpServletRequest request) { if (!checkPassword(request.getParameter("password"))) { throw new SecurityException("二次验证失败"); } // 执行转账 } } ``` #### 防御策略组合建议 | 安全等级 | 推荐方案组合 | |----------|---------------------------------------| | 基础防护 | SameSite Cookie + CSRF Token | | 增强防护 | 基础防护 + 关键操作二次验证 | | 金融级 | 增强防护 + 请求签名 + 行为风控系统 | ### 部署注意事项 1. **Token存储安全**: - 避免将Token存储在LocalStorage(易受XSS攻击) - 推荐使用HttpOnly Cookie存储,前端通过脚本读取 2. **Ajax请求处理**: ```javascript // 手动为AJAX请求添加Token $.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') } }); ``` 3. **Token更新策略**: - 每次验证后刷新Token(防止重放攻击) - 或在会话周期内保持固定(平衡安全性与用户体验) ### 测试验证方法 1. 使用Burp Suite的CSRF PoC生成器 2. 自动化测试脚本: ```python # 模拟CSRF攻击测试 requests.post("http://victim/transfer", data={"amount":1000}, headers={"Referer":"http://attacker.com"}) ``` --- ### 相关问题 1. 如何在Spring Boot中自定义CSRF Token存储策略? 2. 分布式Session环境下如何同步CSRF Token? 3. 使用JWT认证时如何防御CSRF攻击? 4. 如何为RESTful API设计无状态的CSRF防护? 5. CSRF防护与CORS策略有何关联与冲突? [^1]: 参见Spring Security官方文档:https://docs.spring.io/spring-security/reference/servlet/exploits/index.html [^2]: Tomcat SameSite配置指南:https://tomcat.apache.org/tomcat-8.5-doc/config/cookie-processor.html </think> ### Java程序部署中CSRF/XSRF攻击解决方案 #### 一、核心防御机制 Java生态中防御CSRF攻击的核心是基于**不可伪造令牌验证**,其数学本质可表示为: $$ \text{请求合法性} = \begin{cases} 1 & \text{当 } \exists \text{ CSRF Token} \land \text{Token}_\text{req} = \text{Token}_\text{sess} \\ 0 & \text{其他情况} \end{cases} $$ #### 二、主流框架解决方案 ##### 1. Spring Security(推荐方案) ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() // 启用CSRF防护 .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) .and() // 其他配置... } } ``` - **工作流程**: ```mermaid graph LR A[客户端请求] --> B[服务端生成Token] B --> C[Token存入Cookie/X-Header] C --> D[客户端提交包含Token] D --> E{Token验证} E -->|有效| F[执行操作] E -->|无效| G[返回403] ``` - 前端集成示例: ```html <form action="/transfer" method="post"> <input type="hidden" name="_csrf" th:value="${_csrf.token}"/> <input type="number" name="amount"> </form> ``` ##### 2. Jakarta EE (JAX-RS) 方案 ```java @Provider public class CsrfFilter implements ContainerRequestFilter { @Override public void filter(ContainerRequestContext ctx) { if ("POST".equals(ctx.getMethod())) { String headerToken = ctx.getHeaderString("X-CSRF-TOKEN"); String sessionToken = (String) session.getAttribute("csrfToken"); if (!Objects.equals(headerToken, sessionToken)) { ctx.abortWith(Response.status(Response.Status.FORBIDDEN).build()); } } } } ``` #### 三、关键配置实践 1. **SameSite Cookie防护**(Tomcat 配置) ```xml <!-- conf/context.xml --> <Context> <CookieProcessor sameSiteCookies="strict" /> </Context> ``` 2. **敏感操作二次验证** ```java // 银行转账示例 @PostMapping("/transfer") public ResponseEntity<?> transferFunds( @RequestParam("amount") BigDecimal amount, @RequestParam("otp") String otp) { // 强制二次验证 if (!otpService.validateOTP(otp)) { throw new SecurityException("二次验证失败"); } // 执行转账 } ``` 3. **安全头加固**(Spring Boot配置) ```properties # application.properties server.servlet.session.cookie.http-only=true server.servlet.session.cookie.secure=true security.headers.content-security-policy=default-src 'self' ``` #### 四、防御层级矩阵 | 防护层级 | 技术措施 | 适用场景 | |----------|----------------------------|-----------------------| | 基础层 | CSRF Token验证 | 所有表单提交操作 | | 增强层 | SameSite Cookie + Token同步 | 高安全要求系统 | | 终极层 | 关键操作二次认证 | 金融/账户变更操作 | #### 五、特殊场景处理 1. **JSONP防御方案**(针对引用[1]的漏洞) ```java @RestController public class ApiController { @GetMapping(value = "/data", produces = "application/javascript") public String getData(@RequestParam String callback, HttpServletResponse res) { res.setHeader("X-Content-Type-Options", "nosniff"); // 校验callback参数合法性(防XSS) return callback + "({data: '安全数据'});"; } } ``` 2. **无状态API防护** - 使用JWT签名验证:`$$ \text{Signature} = \text{HMAC-SHA256}(\text{header.payload}, \text{secret}) $$` - 请求头添加时间戳防重放 #### 六、测试验证方法 1. 使用OWASP ZAP进行CSRF扫描 2. 手动测试脚本: ```html <!-- 攻击模拟页面 --> <body onload="document.forms[0].submit()"> <form action="https://victim.com/transfer" method="POST"> <input type="hidden" name="amount" value="10000"> </form> </body> ``` --- ### 相关问题 1. 如何在Spring Boot中自定义CSRF Token存储策略? 2. 微服务架构下如何实现跨服务的CSRF防护? 3. 使用JWT认证时如何防御CSRF攻击? 4. 如何在Java中实现CSRF攻击的实时监控? 5. 对于历史遗留的Struts应用如何加固CSRF防护? [^1]: 粗略的 JSONP 部署很容易受到跨网站的伪造要求(CSRF/XSRF)的攻击... [^2]: 跨站点请求伪造(Cross-Site Request Forgery )是一种攻击,强制用户在他们当前登录的应用程序中执行不需要的操作...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值