CSRF与Cookie

最新推荐文章于 2025-10-14 16:18:27 发布

原创最新推荐文章于 2025-10-14 16:18:27 发布 · 3.8k 阅读

1 ·

CC 4.0 BY-SA版权

安全原理专栏收录该内容

7 篇文章

订阅专栏

【背景知识】

Cookie分为2种：

临时cookie，没有expire-day，浏览器打开网页得到，关闭网页销毁。

本地cookie，有expire-day，浏览器打开网页得到，生命期结束后才销毁，不论网页是否关闭。

浏览器同时打开了A页面和B页面（二者不同域名），A页面中有B页面的资源C。

所以用户打开A页面时，会请求B页面中的资源C，发给B的数据包中就带有临时cookie，有些浏览器甚至包括本地cookie，比如FF2，FF3，Opera，Chrome，Android等。

【攻击原理】

1. 假设A也是恶意网站，A构造对资源C的请求时可以是一次恶意操作。

2. 用户访问B时已经得到了授权Cookie。

3. 用户访问A，就被发送了一次恶意操作。因为用户在访问B时携带了Cookie，被浏览器认为是正常授权操作，导致用户被执行了A的恶意操作。

这便是CSRF。

【注意】

其中Cookie作为凭证并不是必须的，那样CSRF执行起来更简单了，都不需要上述的第2步骤。

【防护】

1. Referer检测，如果Referer来自于A，B检测Referer不是B则判定为CSRF。

2. 加Token，用户先访问B得到一个隐藏在表单中的Token，用户执行操作时，会在在参数中携带Token。B检测Token有误则判定为CSRF。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

marshal2016

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

了解cookie以及cookie跨站点伪造攻击(CSRF)

我的专栏

05-15

3343

背景知识：很久很久以前，Web基本上就是文档的浏览而已，既然是浏览，作为服务器，不需要纪录谁在某一段时间里浏览了什么文档，每次请求都是一个新的Http协议，就是请求加响应，尤其是我不用记住是谁刚刚发了HTTP请求，每个请求对我来说是全新的，这段时间很嗨皮。但是，随着交互式Web应用的兴起，像在线购物网站，需要登录的网站等等，马上就面临一个问题，那就是要管理回话，必须记住那些人登录系统，那些人往自己的购物车中放商品，也就是说我必须把每个人区分开，这就是一个不小的挑战，因为HTTP请求是无状态.

Cookies在XSS和CSRF防御中的作用

Wang的专栏

06-08

641

nodejs响应中设置加密后cookies信息。1 ) 通过cookie存储用户签名。nodejs请求中验证用户凭证。nodejs中处理用户凭证。用户ID+签名(推荐)

参与评论您还未登录，请先登录后发表或查看评论

一文带你了解CSRF、Cookie、Session和token，JWT之间的关系

大河之犬的博客

09-15

1598

所以存在被盗用的风险。比如在银行里转账，银行页面上的转账请求链接，是银行服务器那边生成的链接，所以那边是可以在请求里面就加上你客户端的token的，但是钓鱼网站无法得到你的token，钓鱼网站仿造的转账请求链接是无法把token写入的，所以就无法生效。意思是，客户端打开了钓鱼网站，却在不知情的情况下，发送了一个请求给淘宝，这个请求有可能是转账，付款等等，因为是客户端发出的请求，所以客户端会带上自己的cookie，这样就可以请求成功。基于token的验证是无状态的，这也许是它相对cookie来说最大的优点。

Cookie,Session 与 Token

最新发布

xxxxxxllllllshi的博客

10-14

1129

Cookie、Session和Token在Web安全中的差异主要体现在CSRF防御能力上。CSRF攻击利用浏览器自动携带Cookie的特性，而Token通过主动携带和服务器校验机制从根本上阻断攻击。 Cookie因浏览器自动携带特性成为CSRF帮凶，即使设置SameSite等属性也只能缓解风险。Token则需前端主动添加至请求头，结合同源策略保护存储，使攻击者无法获取有效凭证。服务器对Token的多维度校验（签名、过期时间等）进一步确保请求合法性。关键差异：携带方式：Cookie自动 vs Token手

csrf怎么获取其他网站cookie_关于CSRF我能想到些什么

weixin_35216188的博客

12-22

2610

其实期末周已经抽不出身写梳理文章了，但是刚好遇上了安全课的期末作业，也就顺势梳理一下web安全的一些些知识。本来是打算写csrf和xss的，但是好像做完答辩ppt，为了把csrf这个安全问题给我自己讲清楚已经花了五十页，于是就把标题改了，之前看过一个美团技术团队关于xss的文章写的很好的链接在这里。（ps：因为没有专门做过相关的工作，这篇文章讲的并不是很深很实践得到的东西，只...

Web安全-检测-CSRF

AG9GgG的博客

10-14

1984

背景知识跨站域请求伪造（CSRF，Cross Site Request Forgery）是一种网络攻击方式，它在2007年曾被列为互联网20大安全隐患之一。网站是通过cookie来识别用户的，当用户成功进行身份验证之后，浏览器就会得到一个标识其身份的cookie，只要不关闭浏览器或者退出登录，以后访问这个网站就会带上这个cookie。如果这期间浏览器被人控制着请求了这个网站的url，可能就会执...

CSRF cookie not set

游海东的技术专栏

08-11

5271

1、错误描述 2、错误原因由于django框架的settings.py配置了中间件，为了防止跨站请求伪造，form表单POST方式会导致出现报错 """ Django settings for amnd project. Generated by 'django-admin startproject' using Django 2.2.7. For more information on this file, see https://docs.djangoproject.com...

alexa-cookie:用于为alexa遥控器生成包括csrf的cookie的库

05-14

用于为alexa遥控器生成包括csrf的cookie的库＃＃＃＃例子： let alexaCookie = require ( 'alexa-cookie' ) ; alexaCookie ( 'amazon-email' , 'password' , function ( err , result ) { console . log ( '...

【XSS & CSRF 】泄露cookie——以DVWA-High为例

Mr_Fmnwon的博客

05-23

2307

综合利用XSS以及CSRF实现Cookie的泄露，，，旅程比较曲折跨站脚本攻击XSS（最全最细致的靶场实战）_xss靶场-优快云博客网站中包含大量的动态内容以提高用户体验，比过去要复杂得多。所谓动态内容，就是根据用户环境和需要，Web应用程序能够输出相应的内容。

Cookie、Session、Csrf

m0_69965929的博客

06-27

516

Cookie HTTP短连接是什么短链接：不会记录之前的状态，当前通话结束就断开连接，不会记录状态，下次访问时要重新建立连接长链接：当前通话结束后不会立马断开连接，在一定时间内再次连接会记录状态在HTTP/1.0中，默认使用的是短连接。也就是说，浏览器和服务器每进行一次HTTP操作，就建立一次连接，但任务结束就中断连接。如果客户端浏览器访问的某个HTML或其他类型的 Web页中包含有其他的Web资源，如JavaScript文件、图像文件、CSS文件等；当浏览器每遇到这样一个Web资源，就会建立一个HTTP会

Laravel开发-cookie-csrf

08-27

在Laravel框架中，Cookie和CSRF（Cross-Site Request Forgery，跨站请求伪造）是两个关键的安全概念。理解并正确使用它们对于构建安全、可靠的Web应用至关重要。 Cookie是服务器存储在用户浏览器上的小型数据文件，...

csrf

songtaiwu的博客

03-06

301

在yii2.0中，默认csrf校验是开启的。页面中，使用小部件ActiveForm，默认会生成一个带有_csrf值的隐藏域。如果不用ActiveForm，也能调用Request中的方法自己生成。例子1：use yii\widgets\ActiveForm;use yii\helpers\Html; <?php $form = ActiveForm::begin();?><?=Ht...

CSRF

weixin_33921089的博客

04-27

261

refer : https://www.jianshu.com/p/855395f9603b https://www.cnblogs.com/ziyunfei/p/5637945.html https://www.jianshu.com/p/66f77b8f1759 CSRF跨站请求伪造讲的是 cookie 被 hack 了. 举例小明访问 bank.com 登入后...

csrf攻击和xss攻击，cookie的理解

weixin_50146421的博客

06-12

318

什么是cookie？cookie：其实cookie是一个很小的文本文件，是浏览器储存在用户的机器上的。Cookie是纯文本，没有可执行代码譬如我们浏览一个网站时，页面会显示上次你浏览的状态，以及你的登录情况，爱好等等，那么为什么浏览器会记住我们呢？这里cookie就起到了大作用，当客户端第一次访问网页时，客户端会发送一个请求访问包给服务器，当服务器收到请求访问包时会给客户端反馈一个带cookie的响应包，这个包中包含客户端的用户名，密码等一些标志性信息。

Pikachu靶场-CSRF

sucker的博客

04-17

1365

（Cross-Site Request Forgery，跨站请求伪造），是一种利用已认证用户的身份，诱使该用户执行恶意操作的攻击手段。CSRF 攻击是一种相对简单但非常危险的攻击方式，它依赖于用户的身份认证信息，通过伪造用户请求来进行攻击。CSRF 攻击的关键在于利用用户在目标站点上的认证信息（如 Cookie），欺骗用户在不知情的情况下发起操作请求。假设用户已登录系统，且攻击者通过某种方式获取了当前用户的Token（例如诱导用户访问恶意页面窃取Token，或Token生成算法可预测）。

快速了解Cookie/Session/Token，以及CSRF跨站攻击

kzc5335475的博客

04-13

588

快速了解Cookie/Session/Token，以及CSRF跨站攻击本文主要介绍Cookie、Session以及Token的工作机制，以及CSRF跨站攻击，并不涉及到具体以及细节的属性。希望能帮助大家快速了解这几种不同的浏览器用户身份跟踪的会话方式。无状态的HTTP Http协议本身是无状态的，也就是说每一次请求都是相互独立的，服务器并不能分辨请求是不是来自同一个用户。这样的好处是处理起来迅速，缺点就是在很多场景中，用户的每一步操作都是上下文关联的，比如网购往购物车里加东西，即使没有登录帐号，服务器也

Cookie-Form型CSRF防御机制的不足与反思

huaieli1的博客

10-31

516

今天看了 https://hackerone.com/reports/26647 有感。这个漏洞很漂亮，另外让我联想到很多之前自己挖过的漏洞和写过的程序，有感而发。 Django已经在昨天修复了该漏洞 https://www.djangoproject.com/weblog/2016/sep/26/security-releases/ 0x01 借助Session防御CSRF漏洞

CSRF cookie not set.

03-22

<think>好的，用户现在遇到了“CSRF cookie not set”的问题，需要我的帮助。首先，我需要回想一下之前用户询问过关于微信小程序适配Django CSRF的问题，可能他现在在实施过程中遇到了这个错误。首先，用户可能按照之前的解决方案配置了Django和小程序，但实际请求时还是触发了这个错误。我需要分析可能的原因。常见的导致“CSRF cookie not set”的原因有哪些呢？ 1. **CSRF中间件未启用**：Django的CSRF保护依赖于中间件，如果用户没有正确配置，或者中间件被注释掉了，就会导致这个问题。 2. **Cookie未正确传递**：微信小程序默认不携带Cookie，需要手动设置`withCredentials`为true，或者在请求头中正确包含Cookie信息。 3. **未获取CSRF Token**：用户可能没有在首次请求时获取CSRF Token，或者在后续请求中没有正确携带Token。 4. **域名未配置**：微信小程序要求请求的域名必须加入白名单，如果未配置，可能导致请求被拦截，无法获取Cookie。 5. **HTTPS问题**：Django可能配置了CSRF_COOKIE_SECURE为True，但小程序在测试环境使用HTTP，导致Cookie无法写入。 6. **路径问题**：CSRF Cookie的路径和请求的接口路径不匹配，导致浏览器或小程序无法正确发送Cookie。接下来，我需要根据这些可能的原因，逐步给出解决方案。同时，考虑到用户之前的问题是关于微信小程序的适配，我需要特别强调小程序特有的注意事项，比如`withCredentials`的设置、域名白名单等。可能需要分步骤指导用户检查中间件配置、确保Cookie被正确携带、检查域名白名单、处理HTTPS问题等。另外，用户可能需要具体的代码示例，比如如何在Django中设置视图确保生成CSRF Cookie，以及小程序端如何正确发送请求头。同时，需要注意用户可能对Django的配置不太熟悉，比如中间件的添加位置、CORS的设置等，所以需要给出具体的代码片段，并说明添加的位置。例如，在settings.py中启用中间件，配置CORS相关的参数，创建获取CSRF Token的视图等。此外，用户可能在测试过程中遇到了问题，需要指导他们如何排查，比如使用开发者工具检查请求头、Cookie是否被正确携带，或者查看Django的日志确认是否有中间件拦截了请求。最后，需要提醒用户安全相关的注意事项，比如在生产环境中启用HTTPS，定期刷新Token等，确保解决方案既有效又安全。</think>--- ### 🔍 **问题根源解析** 当Django服务返回"CSRF cookie not set"错误时，核心原因是客户端未正确携带CSRF令牌。以下是深度技术分析： **Django安全机制触发条件**： 1. 请求方法为`POST/PUT/PATCH/DELETE` 2. 未检测到有效的`csrftoken`（可能存在于Cookie或请求头） 3. 未通过`@csrf_exempt`显式豁免验证 --- ### 🛠️ **分步解决方案** #### **第一步：确认中间件配置** ```python # settings.py 必须包含 MIDDLEWARE = [ ... 'django.middleware.csrf.CsrfViewMiddleware', # 必须存在且未被注释 'corsheaders.middleware.CorsMiddleware', # 如果使用跨域请求 ... ] ``` #### **第二步：基础Cookie获取验证** ```python # views.py 创建测试接口 from django.http import JsonResponse from django.views.decorators.csrf import ensure_csrf_cookie @ensure_csrf_cookie def test_csrf(request): return JsonResponse({"message": "CSRF cookie已注入"}) ``` **验证方法**： ```bash curl -I -X GET http://your-domain.com/test_csrf/ # 应返回 Set-Cookie: csrftoken=xxxxxx; 字段 ``` #### **第三步：小程序端请求规范** ```javascript // 必须的请求头配置 wx.request({ url: 'https://your-domain.com/api/', method: 'POST', header: { 'X-CSRFToken': wx.getStorageSync('csrftoken'), // 从缓存读取 'Cookie': `csrftoken=${wx.getStorageSync('csrftoken')}` // 双重验证 }, data: { ... }, success(res) { ... } }) ``` --- ### ⚡ **高级调试技巧** #### **场景1：Cookie无法持久化** **现象**：每次请求获得不同的csrftoken **解决方案**： ```python # settings.py 添加 CSRF_COOKIE_SAMESITE = 'None' # 允许跨站携带 SESSION_COOKIE_AGE = 1209600 # 两周有效期（单位：秒） ``` #### **场景2：HTTPS环境异常** **现象**：开发环境正常，生产环境失败 **临时方案**： ```python # 生产环境临时调试（正式上线需关闭） CSRF_COOKIE_SECURE = False SESSION_COOKIE_SECURE = False ``` --- ### 📌 **关键配置检查表** ```python # 必须同步检查的设置项 CSRF_USE_SESSIONS = False # 禁用session模式 CSRF_COOKIE_HTTPONLY = False # 允许JS读取 CORS_ALLOW_CREDENTIALS = True # 跨域凭证 CORS_ALLOW_HEADERS = [ # 必要头信息 'x-csrftoken', 'content-type', 'authorization' ] ``` --- ### 🔥 **应急处理方案** 当遇到紧急故障时，可临时使用： ```python # views.py 临时豁免CSRF验证 from django.views.decorators.csrf import csrf_exempt @csrf_exempt def emergency_api(request): # 处理关键业务逻辑 return JsonResponse({"status": "紧急模式"}) ``` **注意**：此方案需在24小时内恢复安全验证 --- ### 📊 **CSRF验证流程图解** ``` 小程序启动 │ ├─ 发起GET请求 → Django服务器 │ │ │ ├─ 生成csrftoken │ └─ 通过Set-Cookie返回 │ └─ 存储token到Storage │ ├─ 后续POST请求携带 │ ├─ X-CSRFToken头 │ └─ Cookie头 │ └─ Django验证双令牌 ``` 通过上述配置和验证流程，可彻底解决"CSRF cookie not set"问题。实际部署建议使用Postman先进行接口测试，再移植到小程序环境。