CSRF

最新推荐文章于 2025-03-06 14:24:47 发布
最新推荐文章于 2025-03-06 14:24:47 发布
阅读量537 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/G_XUI/article/details/108413459

CSRF,即 Cross Site Request Forgery,中译是跨站请求伪造,是一种劫持受信任用户向服务器发送非预期请求的攻击方式。
举个例子:
小明在刷gmail,突然看到一条链接,好奇点开了发现是个空白链接,就不管他,继续刷其他的。看似没有什么事情发生,但实际上攻击者利用这个所谓的空白页给小明偷偷设置了一个过滤规则,这个规则使他收到的邮件都转发给了攻击者。
1、攻击特点

攻击一般发起在第三方网站,而不是被攻击的网站。被攻击的网站无法防止攻击发生。
攻击利用受害者在被攻击网站的登录凭证,冒充受害者提交操作;而不是直接窃取数据。
整个过程攻击者并不能获取到受害者的登录凭证,仅仅是“冒用”。
跨站请求可以用各种方式:图片URL、超链接、CORS、Form提交等等。部分请求方式可以直接嵌入在第三方论坛、文章中,难以进行追踪。

2、攻击流程

受害者登录a.com,并保留了登录凭证(Cookie)。
攻击者引诱受害者访问了b.com。
b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie。
a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
a.com以受害者的名义执行了act=xx。
攻击完成,攻击者在受害者不知情的情况下,冒充受害者,让a.com执行了自己定义的操作。

3、防范措施
CSRF通常从第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己网站针对CSRF的防护能力来提升安全性。
方法一:同源验证
既然CSRF大多来自第三方网站,那么我们就直接禁止外域(或者不受信任的域名)对我们发起请求。
判断是否来自外域:
在HTTP协议中,每一个异步请求都会携带两个Header,用于标记来源域名:

Origin Header
Referer Header

这两个Header在浏览器发起请求时,大多数情况会自动带上,并且不能由前端自定义内容。 服务器可以通过解析这两个Header中的域名,确定请求的来源域。
注意:
Origin 在 IE11 中不存在,在 302 重定向中也不存在,Referrer 可以被前端隐藏不携带,如果不存在这两个请求头时,需要利用其它方式验证:
当访问源是外域时,直接拒绝访问,但要注意的是,需要过滤掉 html 页面请求,因为当请求来自搜索引擎结果页面时,也是外域访问,会被当做 CSRF 请求。
方法二、CSRF Token 验证
1、服务器生成一个Token,并把这个Token利用算法加密。要注意,这个Token不能放在Cookie中,要不然又会被冒用,一般是放在session中。
2、在页面加载时,在每个a标签和form标签中放入Token
3、服务器验证Token是否正确
缺点:实现较为复杂,工作量大,可能出现遗漏。
方法三、双重Cookie验证
利用CSRF攻击不能获取到用户Cookie的特点,我们可以要求Ajax和表单请求携带一个Cookie中的值。
1、在用户访问网站页面时,向请求域名注入一个Cookie,内容为随机字符串。
2、在前端向后端发起请求时,取出Cookie,并添加到URL的参数中。
3、后端接口验证Cookie中的字段与URL参数中的字段是否一致,不一致则拒绝。
优点:
无需使用Session,适用面更广,易于实施。
Token储存于客户端中,不会给服务器带来压力。
相对于Token,实施成本更低,可以在前后端统一拦截校验,而不需要一个个接口和页面添加。
缺点:
Cookie中增加了额外的字段。
如果有其他漏洞(例如XSS),攻击者可以注入Cookie,那么该防御方式失效。
难以做到子域名的隔离。
为了确保Cookie传输安全,采用这种防御方式的最好确保用整站HTTPS的方式,如果还没切HTTPS的使用这种方式也会有风险。
方法四、Samesite Cookie属性
Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cookie只能作为第一方Cookie,不能作为第三方Cookie,Samesite 有两个属性值,分别是 Strict 和 Lax:
Set-Cookie: foo=1; Samesite=Strict
Set-Cookie: bar=2; Samesite=Lax
复制代码Samesite=Strict:严格模式
这个Cookie无论什么情况下都不能作为第三方的Cookie。
Samesite=lax:宽松模式
如果这个请求改变了当前页面或者打开新页面,且携带GET请求,则这个Cookie可作为第三方Cookie。
缺点:
1、Samesite 不支持子域,也就是说子域无法使用设置了 Samesite 的 cookie,这可能导致用户在主域登录后,前往子域页面仍需要重新登录
2、兼容性不好

G_XUI
关注
校招前端二面高频面试题合集
hellocoder2029的博客
09-12 425
校招前端二面高频面试题合集
【前端安全】一、CSRF攻击和XSS攻击
weixin_39307273的博客
03-06 1709
1、CSRF CSRF,全称Cross-site request forgery(跨站请求伪造),其原理是利用用户的身份,执行非用户本身意愿的操作(隐式身份验证机制)。 形式:图片URL、超链接、Form提交等,也可以嵌入到第三方论坛、文章中等地方。 危害:攻击者可以盗用用户的身份,以用户的名义进行恶意操作,包括但不限于以用户的名义发送邮件、资金转账、网上等危害用户的操作 原理: ...
CSRF攻击原理和防范措施
林见鹿鸣
08-31 2776
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 攻击原理 CSRF是如何发生的呢,我们以网银转账为例进行说明。 首选用户通过浏览器访问网银系统 用户在网银登录后.
关于双重验证机制是如何有效防御CSRF攻击
2401_87522428的博客
03-06 800
CSRF 攻击是指攻击者利用用户在目标网站上的已认证状态,伪造用户的请求。例如:用户登录了银行网站,并在浏览器中保存了认证 Cookie。攻击者诱导用户访问一个恶意网站,该网站自动发起一个转账请求。由于浏览器会自动携带认证 Cookie,请求看起来是合法的,从而导致用户资金被盗。双重验证机制通过同时验证httpOnlyCookie 和请求头/请求体中的 CSRF Token,能够有效防御 CSRF 攻击。httpOnlyCookie 的保护:防止攻击者通过 XSS 攻击窃取 Token。双重验证
前端如何预防CSRF
前端你鹏哥的博客
02-01 894
①阻⽌不明外域的访问:同源检测 、Samesite Cookie ②提交时要求附加本域才能获取的信息:CSRF Token 、双重Cookie验证1、同源检测 既然CSRF⼤多来⾃第三⽅⽹站,那么我们就直接禁⽌外域(或者不受信任的域名)对我们发起请求: 使⽤Origin Header确定来源域名: 在部分与CSRF有关的请求中,请求的Header中会携带Origin字段,如果Origin存 在,那么直接使⽤Origin中的字段确认来源域名就可以 使⽤Referer Header确定来源域名: 根据HTTP协
csrf绕过Referer技巧-01
09-15
CSRF绕过Referer技巧详解 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者可以通过构造恶意页面诱骗用户执行非法操作。为了防御CSRF攻击,Web开发者通常会使用Referer头来判断...
anti-csrf:功能齐全的反CSRF
04-29
CSRF库 动机 没有好的会话驱动的CSRF预防库。 好的,我们的意思是: 可以将CSRF令牌限制为以下任意一项或全部: 一个特定的会议 特定的HTTP URI 特定的IP地址(可选) 可以存储多个CSRF令牌 CSRF令牌在使用一...
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat 防止跨站请求伪造(CSRF)机制浅析 在 Web 应用开发中,跨站请求伪造(CSRF)是一种常见的安全威胁。跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
Backend - Django CSRF 跨域请求伪造
是萝卜干呀的博客
01-29 1226
知识量决定了未来能走多远
23. 云笔记项目
potato123232的博客
08-14 559
项目视频地址P31-P36需求是这样的我们简单分析一下,首先任意网站得有一个主页,主页的内容在后期修改会很频繁,所以主页要单独做一个应用,其余就是用户做一个应用,笔记做一个应用,用户与笔记各自给一个数据表,然后使用外键将两个数据表联系起来。...
前端安全系列之二:如何防止CSRF攻击?
qq_53058639的博客
01-02 1220
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
还有人在纠结Facebook cookies还是双重验证
liedaoshou的博客
10-24 661
那同样的Facebook算从验证码的登录方式其实也是一样的,准确的说你的Facebook账号不管你是购买的Facebook账号还是Facebook账号,还是你自己注册的Facebook账号,一定要有Facebook双重验证机制。他和我们的手机验证码是一个道理,你在登录Facebook账号的时候,除了你的Facebook账号和Facebook密码之外。你需要接收一个实时动态的密码。甚至说句不好听的,你可能所有用了这种插件或者这种类型的软件的人,开发者可能偷偷的给你做了很多操作,你自己都不知道而已。
登录的两种验证方式的区分:cookie和token
m0_73120712的博客
08-09 2300
测试小伙伴出去面试,经常会被问到你们项目登录验证是用的哪种验证方式,不同的验证方式又有哪些区别?下面就有我来问大家讲解一下,下次遇到这种问题就不慌了。前端只需要把用户名和密码传递给后端,后端收到验证成功后,通过他们内置的方式,存入session中,会生成一个唯一的标识,并通过设置响应头,回传给前端。如下图所示。浏览器如果发现响应头中有Set-Cookie,则默认在本地设置Cookie信息,并且后续发送请求时,会在请求头里自动带上cookie的信息,如下图:这样就完成了cookie校验。...
前端安全系列之登录那些事
javagty6778的博客
03-07 353
无论web系统内部多么复杂,对用户而言,都是一个统一的整体,也就是说,用户访问web系统的整个应用群与访问单个系统一样,只要登录/注销一次就够了。相比于单系统登录,SSO需要一个独立的认证中心,只有认证中心能接受用户的用 户名密码等安全信息,其它系统不提供登录入口,只接受认证中心的间接授权。因为无法管理用户状态,对于要登录的页面,每次跳转新页面时都需要再次登录。② 即使攻击者通过某种方式得到了真实的口令值和签名,但是由于攻击者的客户端信息不一样,发送到服务端后,会得到不一样的签名,签名校验不能通过。
CSRF攻击防御,JAVA程序利用token前后端验证每一次请求进行防御
生活没有圈的博客
09-02 3556
整体思路是:访问页面就生成token,保存到session,并且前端将token放进header或者追加到请求地址最后面。后端拿到header或者请求中的token后比对session与herder或者请求中的token是否一致,一致测是同一次请求。有效的防止了,攻击者不从规定页面请求接口进行篡改利用。 每次请求,地址或者header携带TOKEN到服务端验证,防止CSRF攻击 下面是JAVA后端工具类 package com.invoice.util; import java.io.IOException
Cookie API介绍
datai3890的博客
11-04 592
一.Java提供的操作Cookie的API   Java中的javax.servlet.http.Cookie类用于创建一个Cookie Cookie类的主要方法 No. 方法 类型 描述 1 Cookie(Stringname,Stringvalue) 构造方法 实...
csrf
最新发布
05-05
### CSRF 的定义 跨站请求伪造 (Cross-Site Request Forgery, CSRF) 是一种攻击方式,它利用用户的浏览器向目标网站发送未经授权的请求。这种攻击通常发生在用户已经登录到某个站点的情况下,恶意网站通过诱导用户点击链接或加载脚本等方式,在后台提交表单或其他操作,从而执行一些未经用户同意的操作[^1]。 例如,如果用户在一个银行网站上保持登录状态,而此时又访问了一个恶意网页,则该页面可能包含一段 JavaScript 或隐藏的 HTML 表单,自动触发对银行服务器的有效请求。由于这些请求来自已验证过的会话,因此可能会被误认为合法行为并被执行。 ### 实现机制 CSRF 攻击的核心在于滥用当前用户的认证凭证来发起非法请求。以下是其基本工作流程: 1. 用户登录受信任的应用程序 A 并获得有效的会话令牌。 2. 用户随后浏览另一个不受信的网站 B。 3. 网站 B 包含一条指向应用程序 A 的 URL 链接或者嵌入了一张图片标签等资源引用地址。 4. 当用户无意间交互时(比如点击按钮),就会向应用 A 发送 GET/POST 请求。 5. 如果此请求不需要额外的身份确认步骤(如二次验证码输入),那么就有可能成功完成预期外的动作。 为了更清楚地理解这一点,下面是一个简单的例子展示如何构造这样的攻击代码片段: ```html <!-- 假设这是由攻击者创建的一个HTML文件 --> <form action="https://bank.example.com/transfer" method="POST"> <input type="hidden" name="toAccount" value="attacker_account"/> <input type="hidden" name="amount" value="1000"/> </form> <script>document.forms[0].submit();</script> ``` 当受害者打开这个页面的时候,上面这段JavaScript将会立即提交转账表格给银行系统。 ### 防御措施 针对 CSRF 的有效防范策略可以从多个角度入手: #### 同步Token模式(Synchronizer Token Pattern) 最常见也是推荐的方法之一就是在每次HTTP POST请求之前生成随机数作为唯一标识符(token),并将之附加于表单项之中传递至客户端;之后再随响应一起返回给服务端用于校验真实性。只有当两个token匹配一致时才允许继续处理业务逻辑[^4]。 示例实现如下所示: ```python import secrets def generate_csrf_token(): return secrets.token_hex(16) @app.route('/some_form', methods=['GET']) def show_some_form(): csrf_token = generate_csrf_token() session['csrf_token'] = csrf_token return render_template('form.html', csrf_token=csrf_token) @app.route('/process_data', methods=['POST']) def process_data(): user_supplied_token = request.form.get('csrf_token') expected_token = session.pop('csrf_token', None) if not compare_secure_strings(user_supplied_token, expected_token): abort(403) # Invalid token # Proceed with processing data... ``` 这里需要注意的是存储在session中的实际值应该具有一定的有效期,并且最好采用HTTPS协议传输数据以保护敏感信息免遭窃听风险。 #### 双重Cookie验证(Double Submit Cookie) 另一种可行的技术叫做双重递交Cookies(DSC), 它的工作原理是在设置好HttpOnly属性后的常规Session ID之外单独设立一个新的非HttpOnly类型的Anti-CSRF-Cookie ,然后要求前端开发者把它的内容复制粘贴进每一个Ajax调用或者其他任何形式的数据提交动作里去当作参数携带过去让后端做对比分析即可[^1]. 这种方法的优点是可以减少对于修改现有架构的需求量级,缺点则是增加了少量额外开销以及潜在的安全隐患——因为cookies本身也存在被盗取的可能性所以必须谨慎对待整个生命周期管理过程. 另外还可以考虑启用现代浏览器自带的一些特性支持像SameSite Cookies选项,默认情况下限制第三方上下文中无法正常读写特定标记下的项目从而间接达到抵御此类威胁的效果[^2]. 最后提醒一点就是无论采取哪种具体手段都应当结合实际情况综合评估成本效益后再决定最终实施方案!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值