Web安全:CSRF的攻击原理与防御措施

原创 已于 2025-07-06 01:34:37 修改 · 580 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf

于 2025-07-06 01:24:50 首次发布

什么是 CSRF?

CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种利用 浏览器自动携带 Cookie 的机制,诱骗用户在已登录目标网站的情况下,执行恶意操作的攻击方式。

攻击核心特点:

  • 攻击者 不需要窃取 Cookie,而是利用浏览器自动发送 Cookie 的机制。
  • 服务器无法区分 用户主动提交的请求和 恶意网站伪造的请求。

CSRF 攻击流程

示例场景(银行转账)

  1. 用户登录银行网站
    访问your-bank.com,服务器设置Cookie并返回:

    Set-Cookie: session_id=abc123; Secure; HttpOnly

    浏览器存储该 Cookie,后续访问 your-bank.com 时自动携带。

  2. 用户访问恶意网站
    恶意网站malicious.com隐藏了一个自动提交的表单:

       <form action="https://your-bank.com/transfer" method="POST">
     <input type="hidden" name="amount" value="10000">
     <input type="hidden" name="to_account" value="hacker">
   </form>
   <script>
     document.forms[0].submit(); // 自动提交
   </script>

  3. 浏览器发送伪造请求
    由于目标地址是your-bank.com,浏览器自动附加 Cookie

    POST /transfer HTTP/1.1
Host: your-bank.com
Cookie: session_id=abc123
amount=10000&to_account=hacker

    服务器看到合法 session_id,执行转账,攻击成功!

CSRF 防御措施

(1)CSRF Token(最常用)

原理:服务器生成随机 Token,嵌入表单,提交时验证。
实现步骤:

  1. 服务器在渲染表单时生成 Token,存储(Session/Redis):
       <form action="/transfer" method="POST">
     <input type="hidden" name="csrf_token" value="RANDOM_STRING">
   </form>
  2. 提交请求时,服务器验证 Token 是否匹配:
       if request.cookies["session_id"] != user_session or request.form["csrf_token"] != stored_token:
       return "Invalid request!"
  3. 恶意网站无法获取 Token,伪造请求会被拒绝。

(2)SameSite Cookie(浏览器级防御)

通过设置 SameSite 属性,限制跨站请求携带 Cookie。
SameSite属性有三个值:

  • Strict模式‌(最严格、但可能影响用户体验)
    仅在请求来源与当前域名完全一致时发送Cookie,所有跨站请求均不携带。‌安全性最高,但可能影响用户体验(如从外部链接跳转时需重新登录)。‌‌
  • ‌Lax模式(推荐、默认值)
    允许在‌GET请求的顶级导航‌(如点击链接跳转)中发送Cookie,但禁止跨站的POST请求或其他非安全方法携带Cookie。‌‌平衡安全性与用户体验,成为主流浏览器的默认配置。‌‌
    Set-Cookie: session_id=abc123; Secure; HttpOnly; SameSite=Lax
  • None模式
    允许所有跨站点请求携带Cookie,但必须同时设置Secure属性(仅通过HTTPS传输)。‌‌

(3)检查 Referer/Origin 头

服务器检查 Referer(表示当前请求是从哪个 URL 页面发起的) 或 Origin (当前请求的 发起源,仅含协议 + 域名 + 端口,不含路径),判断请求来源是否合法。
缺点:Referer 可能被篡改或缺失,不适合作为唯一防护。

阿坨
关注
Java Web 应用的 CSRF 攻击原理防御策略:保护用户会话安全
shrgegrb的博客
05-15 883
CSRF(跨站请求伪造)攻击是一种利用用户身份认证信息,未经授权执行非用户本意操作的攻击方式。攻击者通过诱导已登录用户访问恶意页面,借助用户的身份向目标应用发送请求,从而执行非法操作。为防御CSRF攻击,Java Web应用可采取以下策略:1. CSRF Token:服务器为每个请求生成唯一Token,并在处理请求时验证Token的有效性;2. SameSite Cookie属性:通过设置SameSite属性限制Cookie在跨站请求时的行为;3. 验证HTTP请求头:检查请求头中的“Referer”字段,
CSRF攻击原理防御方法
墨痕诉清风的博客
02-25 4970
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
深入理解 Web 安全CSRF XSS 防护机制详解
刘一说的IT专栏
11-07 1224
摘要:本文深入剖析了Web应用开发中的两大安全威胁——CSRF(跨站请求伪造)和XSS(跨站脚本攻击)。针对CSRF,详细讲解了同步令牌模式的防御机制及Spring Security的默认实现方案;针对XSS,强调了输入输出编码的核心防御思想,并给出CSP策略、模板引擎转义等解决方案。文章结合Spring Boot+Spring Security实战场景,提供从基本配置到纵深防御体系的全套安全实践,帮助开发者构建更加安全Web应用。
CSRF 攻击详解:原理、案例防御
weixin_62428445的博客
03-04 1772
CSRF 攻击利用浏览器自动携带 Cookie 的特点,让受害者在不知情的情况下执行敏感操作。在 CTF 竞赛中,题目往往会设计场景,让参赛者通过 CSRF 触发反射型 XSS,从而获取管理员页面中的 flag。本文详细介绍了 CSRF 攻击原理、常见方式以及一个实战案例,并讨论了如何防御此类攻击。理解并掌握 CSRF 攻击有助于你在 CTF 中快速识别并利用漏洞,同时也能提高你对 Web 安全防护措施的理解。
Web安全CSRF攻击详解防护
J老熊
09-08 2384
CSRF攻击是指黑客通过欺骗用户在不知情的情况下向受信任的服务器发送请求,从而执行用户并未授权的操作。由于浏览器的同源策略,浏览器会自动携带当前登录用户的身份凭证(如Cookie),导致服务器误以为请求是合法用户发出的。用户登录电商系统,并在浏览器中保持会话(比如通过Cookie保存登录状态)。攻击者构造一个恶意网站,诱导用户访问该网站。恶意网站通过用户的浏览器向电商系统发送请求,例如提交订单、修改账户信息等。由于用户已经登录,服务器在收到请求时会认为是合法请求,从而执行攻击者的恶意操作。
深入理解前端安全CSRFXSS攻击详解
m0_46335150的博客
04-19 2689
CSRF(Cross-Site Request Forgery,跨站请求伪造),听起来像个高大上的术语,但其实它就是恶搞用户的日常操作。攻击者通过引诱已认证用户访问恶意网站,利用用户的身份发起未授权请求。结果?用户可能会无意中执行一些危险操作,比如转账、修改密码等。XSS(Cross-Site Scripting,跨站脚本攻击)就像是Web页面上的“病毒”,攻击者通过注入恶意脚本到网页,借此窃取数据或执行不法行为。不同于CSRF,它直接攻击浏览器环境,让用户的浏览器成为攻击的“战场”。
CSRF攻击原理防御措施
qq_44169219的博客
11-14 1165
CSRF,即跨站请求伪造(Cross-site request forgery) 攻击原理 用户登录受信任网站A,产生cookie 用户访问攻击网站B,网站B返回攻击代码并发出要登录网站A的请求 网站A对请求进行验证并确认是用户的cookie,误以为是用户操作 网站A执行攻击代码,攻击完成。 可以理解为:攻击者盗用用户身份,并以用户的名义发送恶意请求。 在服务器看来这个请求是完全合法的,...
深入理解web安全CSRF攻击防御措施
科技改变人类,技术成就未来
08-09 933
跨站请求伪造(CSRF)是一种网络攻击,通过冒用用户的身份在受信任的网站上执行未经授权的操作。防御措施包括使用CSRF Token、Referer验证、SameSite Cookie属性、双重提交Cookie和用户交互验证等,以提高Web应用的安全性,防止恶意请求的发生。本文将深入探讨CSRF攻击的工作原理,并介绍几种有效的防御措施
CSRF漏洞原理攻击防御 超详细
qq_48368964的博客
08-13 1641
CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。具体来讲,可以这样理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
网络安全基于CSRF攻击原理防护机制的Web应用安全策略:金融及社交场景下用户身份盗用防范
09-03
内容概要:本文详细解析了CSRF(跨站请求伪造)攻击原理、流程、常见场景及其其他安全漏洞的区别,并系统介绍了检测防范CSRF攻击的方法。文章首先解释CSRF攻击者利用用户已登录的身份,在用户不知情的情况下...
精选资源
5分钟科普CSRF攻击防御Web安全的第一防线
02-25
目录:一、CSRF介绍二、CSRF攻击的危害三、CSRF攻击原理及过程四、CSRF漏洞检测五、CSRF漏洞预防六、最后聊聊xssCSRF(Cross-siterequestforgery)跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,通常...
CSRF防护模式选择指南:三种方案的对比决策
petunsecn的专栏
12-12 925
本文系统分析了CSRF防护方案的决策框架,包含5个核心维度对比表、场景化决策矩阵和流程图。针对金融级应用、现代Web应用和高并发API三种典型场景,分别给出具体配置方案和实施要点,强调安全措施、性能优化和故障处理策略。总结提出安全优先、性能优先、平衡和渐进4项决策原则,建议采用深度防御、定期评估、持续监控和团队培训等最佳实践,帮助构建有效的CSRF防护体系。
Feigong,针对各种情况自由变化的mysql注入脚本,In view of the different things freely change the mysql injection scrip
最新发布
12-17
下载前可以先看下教程 https://pan.quark.cn/s/90f2470d331b Feigong --非攻 rm... 最近有了新的体验...Feigong 2.0loading....
【空气质量预测】北京 36 站预处理数据 落地即用无套路!.zip
12-17
【空气质量预测】北京 36 站预处理数据 落地即用无套路!.zip
理光 MP7503 MP6503 MP9003 维修手册p
12-17
理光 MP7503 MP6503 MP9003 维修手册p
【电子测试设备】基于USB-TMC协议的SPD3000系列直流稳压电源固件升级方法:通过EasyPower软件实现.ugf文件更新操作指导
12-17
内容概要:本文介绍了鼎阳直流稳压电源SPD3000系列的固件升级方法,通过PC端管理软件EasyPower和USBTMC连接实现。升级过程包括:安装EasyPower软件并建立电源设备的USB连接,在软件界面中选择“版本”菜单下的“升级”选项,进入固件升级对话框后选择扩展名为.ugf的固件文件,确认后点击“升级”按钮开始更新。升级过程中需等待进度条完成,结束后重启设备即可正常使用。文中配有操作界面图示,详细展示了各步骤的操作位置和流程。; 适合人群:电子工程师、技术支持人员及具备基本仪器操作经验的实验室技术人员;适用于需要维护或更新SPD3000系列电源设备固件的专业用户。; 使用场景及目标:①当设备功能异常或需要新增功能时进行固件升级;②配合最新版EasyPower软件确保设备兼容性和稳定性;③提升设备性能或修复已知问题。; 阅读建议:在执行升级前请确保正确安装驱动和软件,并使用官方提供的.ugf格式固件文件,避免升级失败。操作过程中保持设备供电稳定,切勿中断升级流程,以防设备损坏。
米游社每日米游币自动化脚本
12-17
源码地址: https://pan.quark.cn/s/d1f41682e390 miyoubiAuto 米游社每日米游币自动化Python脚本(务必使用Python3) 8更新:更换cookie的获取地址 注意:禁止在B站、贴吧、或各大论坛大肆传播! 作者已退游,项目不维护了。 如果有能力的可以pr修复。 小引一波 推荐关注几个非常可爱有趣的女孩! 欢迎B站搜索: @嘉然今天吃什么 @向晚大魔王 @乃琳Queen @贝拉kira 第三方库 食用方法 下载源码 在Global.py中设置米游社Cookie 运行myb.py 本地第一次运行时会自动生产一个文件储存cookie,请勿删除 当前仅支持单个账号! 获取Cookie方法 浏览器无痕模式打开 http://user.mihoyo.com/ ,登录账号 按,打开,找到并点击 按刷新页面,按下图复制 Cookie: How to get mys cookie 当触发时,可尝试按关闭,然后再次刷新页面,最后复制 Cookie。 也可以使用另一种方法: 复制代码 浏览器无痕模式打开 http://user.mihoyo.com/ ,登录账号 按,打开,找到并点击 控制台粘贴代码并运行,获得类似的输出信息 部分即为所需复制的 Cookie,点击确定复制 部署方法--腾讯云函数版(推荐! ) 下载项目源码和压缩包 进入项目文件夹打开命令行执行以下命令 xxxxxxx为通过上面方式或取得米游社cookie 一定要用双引号包裹!! 例如: png 复制返回内容(包括括号) 例如: QQ截图20210505031552.png 登录腾讯云函数官网 选择函数服务-新建-自定义创建 函数名称随意-地区随意-运行环境Python3....
《CentOS服务器环境搭建实战项目在毕业设计方面的应用-从零部署到高可用Web服务》.docx
12-17
内容概要:本文围绕《CentOS服务器环境搭建实战项目在毕业设计方面的应用——从零部署到高可用Web服务》,系统讲解了如何基于CentOS Stream 9搭建可复现、可答辩、可扩展的服务端原型,涵盖基础设施即代码(IaC)、安全配置(SELinux/Firewalld)、高性能Web架构(Nginx + uWSGI + Flask)、HTTPS加密(Let’s Encrypt)及监控体系(Prometheus + Grafana)等核心技术。通过Ansible自动化部署、Flask应用开发Nginx反向代理配置,结合真实代码案例,帮助学生在4~6周内完成具备真实实验数据支撑的毕业设计。; 适合人群:计算机、软件工程、大数据、人工智能等专业的应届本科或研究生毕业生,具备Linux基础和基本编程能力者优先。; 使用场景及目标:①用于构建高并发博客、深度学习推理平台或边缘计算网关等毕业设计课题;②实现在论文中展示自动化部署、性能优化、安全加固和监控可视化等关键技术环节,提升答辩说服力学术可信度;③支持HTTPS、缓存加速、服务监控等功能集成,满足“可复现、可扩展”的科研要求。; 阅读建议:建议结合文中提供的目录结构、Ansible脚本、Flask应用代码和Nginx模板进行动手实践,重点关注IaC思想实验数据采集方法,并将关键配置截图和性能图表直接嵌入论文,增强论证真实性技术深度。
EI复现基于元模型优化算法的主从博弈多虚拟电厂动态定价和能量管理(Matlab代码实现)
12-17
【EI复现】基于元模型优化算法的主从博弈多虚拟电厂动态定价和能量管理(Matlab代码实现)
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值