csrf攻击和token

最新推荐文章于 2025-06-10 11:01:11 发布
转载 最新推荐文章于 2025-06-10 11:01:11 发布 · 779 阅读 · 0

本文介绍了CSRF攻击,以直播网站送礼物和删除礼物接口为例,说明攻击者可通过非法手段让用户在不知情下操作。同时阐述了使用Token防止CSRF攻击的方法,即服务端生成随机数埋入页面,用户请求时带上该随机数,服务端校验,还提醒Token应放于session中。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • 参考来源

    https://zhuanlan.zhihu.com/p/22521378

  • csrf攻击

    A网站是一个正常的直播类网站可以送礼物,送礼物的接口是 https://xxxx.com/gift/send?target=someone&giftId=ab231 (get和post都行,这里只是一个示例),在用户已登录状态下调用这个接口就可以给someone这个用户送ab231这个礼物;

    B网站可能通过非法链接、网页伪装、图片url外链等操作让用户访问这个接口(可能顺便伪装一下让用户使用用户名和密码登录,也可能很不幸用户在A网站就是登录状态),如果B网站的后端没有采取任何操作,那么用户神不知鬼不觉的就给someone送了礼物;

    但是用户可能会在送礼物历史中发现问题,假设删除礼物的接口是 https://xxxx.com/gift/deleteRecord ,接口类型为POST,请求参数为 { giftId:“ab231”},此时可以再用一个伪装网页进行自动提交、并跳转回首页(而且这个网页是什么也不显示的)

    哈哈,给你开了个玩笑,莫生气~ 
      <script>
      document.getElementById('form').submit();
      location.href = "http://xxxx.com";
  </script>

    如果删除礼物的接口也不采取任何措施的话,那么就再次攻击成功,用户根本不知道礼物已经送出去了

  • 使用token防止csrf攻击

    1. 服务端第一次收到请求时(例如登录),会生成一个随机数,在渲染请求页面时把随机数埋入页面(一般埋入 form 表单内)

       <input type="hidden" name="_csrf_token" value="xxxx">

    2. 服务端通过setSession把这个随机数传回浏览器

    3. 用户再次发送请求时,会带上这个随机数(_csrf_token参数)

    4. 服务端会进行校验,如果_csrf_token参数不存在或者检验不通过,则请求不合法

  • 注意事项

    1. token应该放在session中

      如果放在cookie中会出现当浏览器开了很多页面,而一些页面重新种入新的token时,用户会发现一些页面过了几分钟就无法访问了

CSRF攻击Token验证错误的报错与修复
shejizuopin的博客
06-20 767
摘要:本文探讨了CSRF(跨站请求伪造)攻击防御中Token验证的常见错误及修复方法。文章分析了Token不匹配、缺失配置不当等报错原因,提供了Node.js+Express、Spring Boot等框架的代码示例解决方案。通过表格示例对比了不同框架的Token验证问题,强调了确保Token一致性、正确传输配置检查的重要性。文章建议通过调试日志安全审计提升应用安全性,并加强开发人员安全意识培训。
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击
jinyangjie的博客
02-14 7341
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
CSRF Token
weixin_33970449的博客
05-23 328
本文参考自:https://blog.youkuaiyun.com/lion19930924/article/details/50955000 目的是防御CSRF攻击Token就是令牌,最大的特点就是随机性,不可预测。 CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 c...
CSRF漏洞原理攻击与防御(非常细)
QXXXD的博客
06-10 1063
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账购买商品))。
java ajax csrf,Ajax请求设置csrf_token
weixin_28718769的博客
03-11 578
方式1通过获取隐藏的input标签中的csrfmiddlewaretoken值,放置在data中发送。$.ajax({url: "/cookie_ajax/",type: "POST",data: {"username": "chao","password": 123456,"csrfmiddlewaretoken": $("[name = 'csrfmiddlewaretoken']").val...
2016-08-09】{[Csrf token],[Redis]}
SilenceCarrot的专栏
08-09 1256
什么是CSRFCSRF又叫“跨站点请求伪造(Cross-Site Request Forgeries,CSRF)”,CSRF攻击是指攻击者通过设置好的陷阱,前置对已完成认证的用户进行非预期的个人信息或者设定信息等某些状态的更新,属于被动攻击。 跨站点请求伪造可能会造成一下影响:   利用已通过认证的用户权限更新设定信息等;   利用已通过认证的用户权限购买商品;   利用已通过
关于CSRF csrftoken
猪肉炖白菜
05-08 960
CSRF 虽然利用了session验证机制的漏洞,一般使用加密token的方式防御,但是其本身session以及JWT token没有直接联系。 描述# CSRF利用用户正常登录产生的cookie,利用钓鱼网站传给用户发送一张有内容的表单,并携带用户的正常cookies访问网站,达到将伪造的表单通过用户之手传到网站上的目的。为了避免用户提交其他网站生成的表单,网站在用户登录时签发给用户一个c...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
CSRF漏洞Token防御介绍
一米八多的瑞兹的博客
11-25 1030
1.漏洞修补逻辑分析 CSRF漏洞实质:服务器无法准确判断当前请求是否是合法用户的自定义操作。如果服务器在用户登录之后给予用户一个唯一合法令牌,每一次操作过程中,服务器都会验证令牌是否正确,如果正确那么执行操作。不正确不执行操作。 一般情况下,给予的令牌会写入表单中隐藏域的value值中,随着表单内容进行提交。 2.简单代码模型分析 3.生成Token代码分析 Token作为识别操作是否是当前用户自己操作的唯一凭证,需要设置为复杂难以被破解的内容。 例如: function generateToken()
Web安全之CSRF攻击详解与防护
J老熊
09-08 2251
CSRF攻击是指黑客通过欺骗用户在不知情的情况下向受信任的服务器发送请求,从而执行用户并未授权的操作。由于浏览器的同源策略,浏览器会自动携带当前登录用户的身份凭证(如Cookie),导致服务器误以为请求是合法用户发出的。用户登录电商系统,并在浏览器中保持会话(比如通过Cookie保存登录状态)。攻击者构造一个恶意网站,诱导用户访问该网站。恶意网站通过用户的浏览器向电商系统发送请求,例如提交订单、修改账户信息等。由于用户已经登录,服务器在收到请求时会认为是合法请求,从而执行攻击者的恶意操作。
csrf_token配置正确,却报错 禁止访问,渲染的页面里也没有csrf的input
hao_sir
04-15 394
小编的错误在于: class posting(View): def get(self, request): template = get_template('posting.html') moods = models.Mood.objects.all() message = '如果要张贴信息,每个字段都要填1...' ...
csrf_token跨站请求伪造保护验证
weixin_40105587的博客
03-09 2429
伪造:其实请求伪造是客户端发的 恶意网站不需要客户端的访问记录保护:(使用POST请求方式 , 本质是在请求的参数上加上随机字符串进行混淆)1 .当客户端请求服务器 服务器端根据 secret_key 生成一个随机的token  服务器会把这个token 写到返回的cookie里 键为csrftoken 其值为自动生成的token     2 在所有的POST表单中 服务器会自动帮帮我们生成一个隐...
阿里巴巴 JAVA开发手册之表单、AJAX 提交必须执行 CSRF 安全验证 思路流程及代码示例
weixin_42589778的博客
08-29 665
介绍:CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,C...
为什么CSRF Token写在COOKIE里面
18年3月萌新白帽子
08-14 2万+
最近做渗透测试的时候经常看到用户的COOKIE信息里带有CSRF等字样的信息,问了一下同事,他们说这个是用来防御CSRF的字段。 这一下可把我弄懵了,因为我对CSRF的理解是:攻击者盗用用户的COOKIE执行非用户本意的操作。 我的想法是,用户的COOKIE就像是一张门禁卡一样,攻击者可以盗用用户的门禁卡,以被盗用户的身份来执行一些设计增删改的操作,既然用户已经盗用了用户的COOKIE刷卡进门...
登陆有CSRFToken验证的网站及下载文件的脚本
lynne233
03-31 2059
今天开会之前整理了一下以前的代码,发现自己以前模拟登陆的时候经常会碰到有csrftoken验证的网站,登陆会遇到一些麻烦,于是写了一个脚本,下面把代码贴出来: #!/usr/bin/env python import sys import requests import time import string login_url="http://www.mooc.buaa.edu.cn/logi
网络爬虫逆向(1688工厂)
m0_43402033的博客
05-06 2209
目标网址:more。
解密阿里巴巴加密技术: 爬虫JS逆向实践-1688 【JS混淆加密解析】
五包辣条的博客
11-04 7440
大家好,我是辣条。 这是爬虫系列的36篇,爬虫之路永无止境。 爬取目标 网站:阿里巴巴1688.com - 全球领先的采购批发平台,批发网 工具使用 开发工具:pycharm 开发环境:python3.7, Windows10 使用工具包:requests,urllib, time, re, execjs 重点学习的内容 JS混淆 正则表达式的使用 py执行js文件的应用 网页参数编码 页面分析 爬取:海量产地工厂,就上1688找工厂 .
CSRF 攻击的应对之道
sarck3的专栏
02-12 1162
简介: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析
XSS攻击CSRF攻击
最新发布
07-23
### XSS攻击CSRF攻击的区别 XSS(跨域脚本攻击CSRF(跨站请求伪造)是两种常见的网络安全攻击方式,它们在攻击原理、目标以及实施条件上存在显著差异。 1. **攻击原理** XSS攻击是通过向网页中注入恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值