CSRF与Cookie

最新推荐文章于 2025-10-08 16:40:23 发布

原创最新推荐文章于 2025-10-08 16:40:23 发布 · 3.8k 阅读

1 ·

CC 4.0 BY-SA版权

安全原理专栏收录该内容

7 篇文章

订阅专栏

【背景知识】

Cookie分为2种：

临时cookie，没有expire-day，浏览器打开网页得到，关闭网页销毁。

本地cookie，有expire-day，浏览器打开网页得到，生命期结束后才销毁，不论网页是否关闭。

浏览器同时打开了A页面和B页面（二者不同域名），A页面中有B页面的资源C。

所以用户打开A页面时，会请求B页面中的资源C，发给B的数据包中就带有临时cookie，有些浏览器甚至包括本地cookie，比如FF2，FF3，Opera，Chrome，Android等。

【攻击原理】

1. 假设A也是恶意网站，A构造对资源C的请求时可以是一次恶意操作。

2. 用户访问B时已经得到了授权Cookie。

3. 用户访问A，就被发送了一次恶意操作。因为用户在访问B时携带了Cookie，被浏览器认为是正常授权操作，导致用户被执行了A的恶意操作。

这便是CSRF。

【注意】

其中Cookie作为凭证并不是必须的，那样CSRF执行起来更简单了，都不需要上述的第2步骤。

【防护】

1. Referer检测，如果Referer来自于A，B检测Referer不是B则判定为CSRF。

2. 加Token，用户先访问B得到一个隐藏在表单中的Token，用户执行操作时，会在在参数中携带Token。B检测Token有误则判定为CSRF。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

marshal2016

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

了解cookie以及cookie跨站点伪造攻击(CSRF)

我的专栏

05-15

3343

背景知识：很久很久以前，Web基本上就是文档的浏览而已，既然是浏览，作为服务器，不需要纪录谁在某一段时间里浏览了什么文档，每次请求都是一个新的Http协议，就是请求加响应，尤其是我不用记住是谁刚刚发了HTTP请求，每个请求对我来说是全新的，这段时间很嗨皮。但是，随着交互式Web应用的兴起，像在线购物网站，需要登录的网站等等，马上就面临一个问题，那就是要管理回话，必须记住那些人登录系统，那些人往自己的购物车中放商品，也就是说我必须把每个人区分开，这就是一个不小的挑战，因为HTTP请求是无状态.

Cookies在XSS和CSRF防御中的作用

Wang的专栏

06-08

641

nodejs响应中设置加密后cookies信息。1 ) 通过cookie存储用户签名。nodejs请求中验证用户凭证。nodejs中处理用户凭证。用户ID+签名(推荐)

参与评论您还未登录，请先登录后发表或查看评论

一文带你了解CSRF、Cookie、Session和token，JWT之间的关系

大河之犬的博客

09-15

1598

所以存在被盗用的风险。比如在银行里转账，银行页面上的转账请求链接，是银行服务器那边生成的链接，所以那边是可以在请求里面就加上你客户端的token的，但是钓鱼网站无法得到你的token，钓鱼网站仿造的转账请求链接是无法把token写入的，所以就无法生效。意思是，客户端打开了钓鱼网站，却在不知情的情况下，发送了一个请求给淘宝，这个请求有可能是转账，付款等等，因为是客户端发出的请求，所以客户端会带上自己的cookie，这样就可以请求成功。基于token的验证是无状态的，这也许是它相对cookie来说最大的优点。

CSRF 跨站请求伪造攻击防护指南-全栈Web安全必备知识

最新发布

2301_79239314的博客

10-08

985

CSRF（Cross-Site Request Forgery，跨站请求伪造）是 Web 开发中最常见的安全威胁之一，攻击者利用用户已登录的身份，诱导用户执行非本意的恶意操作。想象一下，你在银行网站登录后，不小心点击了恶意链接，结果账户里的钱被转走了 —— 这就是 CSRF 攻击的典型场景。本文档将用通俗易懂的方式，为你揭示 CSRF 攻击的原理、危害和跨语言防护策略，让你在 5 分钟内掌握这个重要的 Web 安全知识点，为你的项目构建坚实的安全防线。

csrf怎么获取其他网站cookie_关于CSRF我能想到些什么

weixin_35216188的博客

12-22

2610

其实期末周已经抽不出身写梳理文章了，但是刚好遇上了安全课的期末作业，也就顺势梳理一下web安全的一些些知识。本来是打算写csrf和xss的，但是好像做完答辩ppt，为了把csrf这个安全问题给我自己讲清楚已经花了五十页，于是就把标题改了，之前看过一个美团技术团队关于xss的文章写的很好的链接在这里。（ps：因为没有专门做过相关的工作，这篇文章讲的并不是很深很实践得到的东西，只...

Web安全-检测-CSRF

AG9GgG的博客

10-14

1983

背景知识跨站域请求伪造（CSRF，Cross Site Request Forgery）是一种网络攻击方式，它在2007年曾被列为互联网20大安全隐患之一。网站是通过cookie来识别用户的，当用户成功进行身份验证之后，浏览器就会得到一个标识其身份的cookie，只要不关闭浏览器或者退出登录，以后访问这个网站就会带上这个cookie。如果这期间浏览器被人控制着请求了这个网站的url，可能就会执...

CSRF cookie not set

游海东的技术专栏

08-11

5271

1、错误描述 2、错误原因由于django框架的settings.py配置了中间件，为了防止跨站请求伪造，form表单POST方式会导致出现报错 """ Django settings for amnd project. Generated by 'django-admin startproject' using Django 2.2.7. For more information on this file, see https://docs.djangoproject.com...

alexa-cookie:用于为alexa遥控器生成包括csrf的cookie的库

05-14

用于为alexa遥控器生成包括csrf的cookie的库＃＃＃＃例子： let alexaCookie = require ( 'alexa-cookie' ) ; alexaCookie ( 'amazon-email' , 'password' , function ( err , result ) { console . log ( '...

【XSS & CSRF 】泄露cookie——以DVWA-High为例

Mr_Fmnwon的博客

05-23

2307

综合利用XSS以及CSRF实现Cookie的泄露，，，旅程比较曲折跨站脚本攻击XSS（最全最细致的靶场实战）_xss靶场-优快云博客网站中包含大量的动态内容以提高用户体验，比过去要复杂得多。所谓动态内容，就是根据用户环境和需要，Web应用程序能够输出相应的内容。

Cookie、Session、Csrf

m0_69965929的博客

06-27

516

Cookie HTTP短连接是什么短链接：不会记录之前的状态，当前通话结束就断开连接，不会记录状态，下次访问时要重新建立连接长链接：当前通话结束后不会立马断开连接，在一定时间内再次连接会记录状态在HTTP/1.0中，默认使用的是短连接。也就是说，浏览器和服务器每进行一次HTTP操作，就建立一次连接，但任务结束就中断连接。如果客户端浏览器访问的某个HTML或其他类型的 Web页中包含有其他的Web资源，如JavaScript文件、图像文件、CSS文件等；当浏览器每遇到这样一个Web资源，就会建立一个HTTP会

Laravel开发-cookie-csrf

08-27

在Laravel框架中，Cookie和CSRF（Cross-Site Request Forgery，跨站请求伪造）是两个关键的安全概念。理解并正确使用它们对于构建安全、可靠的Web应用至关重要。 Cookie是服务器存储在用户浏览器上的小型数据文件，...

csrf

songtaiwu的博客

03-06

301

在yii2.0中，默认csrf校验是开启的。页面中，使用小部件ActiveForm，默认会生成一个带有_csrf值的隐藏域。如果不用ActiveForm，也能调用Request中的方法自己生成。例子1：use yii\widgets\ActiveForm;use yii\helpers\Html; <?php $form = ActiveForm::begin();?><?=Ht...

CSRF

weixin_33921089的博客

04-27

261

refer : https://www.jianshu.com/p/855395f9603b https://www.cnblogs.com/ziyunfei/p/5637945.html https://www.jianshu.com/p/66f77b8f1759 CSRF跨站请求伪造讲的是 cookie 被 hack 了. 举例小明访问 bank.com 登入后...

csrf攻击和xss攻击，cookie的理解

weixin_50146421的博客

06-12

318

什么是cookie？cookie：其实cookie是一个很小的文本文件，是浏览器储存在用户的机器上的。Cookie是纯文本，没有可执行代码譬如我们浏览一个网站时，页面会显示上次你浏览的状态，以及你的登录情况，爱好等等，那么为什么浏览器会记住我们呢？这里cookie就起到了大作用，当客户端第一次访问网页时，客户端会发送一个请求访问包给服务器，当服务器收到请求访问包时会给客户端反馈一个带cookie的响应包，这个包中包含客户端的用户名，密码等一些标志性信息。

Pikachu靶场-CSRF

sucker的博客

04-17

1365

（Cross-Site Request Forgery，跨站请求伪造），是一种利用已认证用户的身份，诱使该用户执行恶意操作的攻击手段。CSRF 攻击是一种相对简单但非常危险的攻击方式，它依赖于用户的身份认证信息，通过伪造用户请求来进行攻击。CSRF 攻击的关键在于利用用户在目标站点上的认证信息（如 Cookie），欺骗用户在不知情的情况下发起操作请求。假设用户已登录系统，且攻击者通过某种方式获取了当前用户的Token（例如诱导用户访问恶意页面窃取Token，或Token生成算法可预测）。

快速了解Cookie/Session/Token，以及CSRF跨站攻击

kzc5335475的博客

04-13

588

快速了解Cookie/Session/Token，以及CSRF跨站攻击本文主要介绍Cookie、Session以及Token的工作机制，以及CSRF跨站攻击，并不涉及到具体以及细节的属性。希望能帮助大家快速了解这几种不同的浏览器用户身份跟踪的会话方式。无状态的HTTP Http协议本身是无状态的，也就是说每一次请求都是相互独立的，服务器并不能分辨请求是不是来自同一个用户。这样的好处是处理起来迅速，缺点就是在很多场景中，用户的每一步操作都是上下文关联的，比如网购往购物车里加东西，即使没有登录帐号，服务器也

Cookie-Form型CSRF防御机制的不足与反思

huaieli1的博客

10-31

515

今天看了 https://hackerone.com/reports/26647 有感。这个漏洞很漂亮，另外让我联想到很多之前自己挖过的漏洞和写过的程序，有感而发。 Django已经在昨天修复了该漏洞 https://www.djangoproject.com/weblog/2016/sep/26/security-releases/ 0x01 借助Session防御CSRF漏洞

CSRF cookie not set.

03-22

好的，用户现在遇到了“CSRF cookie not set”的问题，需要我的帮助。首先，我需要回想一下之前用户询问过关于微信小程序适配Django CSRF的问题，可能他现在在实施过程中遇到了这个错误。首先，用户可能按照之前的...