csrf攻击和token

最新推荐文章于 2025-09-29 00:30:19 发布
转载 最新推荐文章于 2025-09-29 00:30:19 发布 · 797 阅读 · 0

本文介绍了CSRF攻击,以直播网站送礼物和删除礼物接口为例,说明攻击者可通过非法手段让用户在不知情下操作。同时阐述了使用Token防止CSRF攻击的方法,即服务端生成随机数埋入页面,用户请求时带上该随机数,服务端校验,还提醒Token应放于session中。

  • 参考来源

    https://zhuanlan.zhihu.com/p/22521378

  • csrf攻击

    A网站是一个正常的直播类网站可以送礼物,送礼物的接口是 https://xxxx.com/gift/send?target=someone&giftId=ab231 (get和post都行,这里只是一个示例),在用户已登录状态下调用这个接口就可以给someone这个用户送ab231这个礼物;

    B网站可能通过非法链接、网页伪装、图片url外链等操作让用户访问这个接口(可能顺便伪装一下让用户使用用户名和密码登录,也可能很不幸用户在A网站就是登录状态),如果B网站的后端没有采取任何操作,那么用户神不知鬼不觉的就给someone送了礼物;

    但是用户可能会在送礼物历史中发现问题,假设删除礼物的接口是 https://xxxx.com/gift/deleteRecord ,接口类型为POST,请求参数为 { giftId:“ab231”},此时可以再用一个伪装网页进行自动提交、并跳转回首页(而且这个网页是什么也不显示的)

    哈哈,给你开了个玩笑,莫生气~ 
      <script>
      document.getElementById('form').submit();
      location.href = "http://xxxx.com";
  </script>

    如果删除礼物的接口也不采取任何措施的话,那么就再次攻击成功,用户根本不知道礼物已经送出去了

  • 使用token防止csrf攻击

    1. 服务端第一次收到请求时(例如登录),会生成一个随机数,在渲染请求页面时把随机数埋入页面(一般埋入 form 表单内)

       <input type="hidden" name="_csrf_token" value="xxxx">

    2. 服务端通过setSession把这个随机数传回浏览器

    3. 用户再次发送请求时,会带上这个随机数(_csrf_token参数)

    4. 服务端会进行校验,如果_csrf_token参数不存在或者检验不通过,则请求不合法

  • 注意事项

    1. token应该放在session中

      如果放在cookie中会出现当浏览器开了很多页面,而一些页面重新种入新的token时,用户会发现一些页面过了几分钟就无法访问了

CSRF攻击Token验证错误的报错与修复
shejizuopin的博客
06-20 1057
摘要:本文探讨了CSRF(跨站请求伪造)攻击防御中Token验证的常见错误及修复方法。文章分析了Token不匹配、缺失配置不当等报错原因,提供了Node.js+Express、Spring Boot等框架的代码示例解决方案。通过表格示例对比了不同框架的Token验证问题,强调了确保Token一致性、正确传输配置检查的重要性。文章建议通过调试日志安全审计提升应用安全性,并加强开发人员安全意识培训。
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击
jinyangjie的博客
02-14 7415
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
CSRF Token
weixin_33970449的博客
05-23 367
本文参考自:https://blog.youkuaiyun.com/lion19930924/article/details/50955000 目的是防御CSRF攻击Token就是令牌,最大的特点就是随机性,不可预测。 CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 c...
java ajax csrf,Ajax请求设置csrf_token
weixin_28718769的博客
03-11 595
方式1通过获取隐藏的input标签中的csrfmiddlewaretoken值,放置在data中发送。$.ajax({url: "/cookie_ajax/",type: "POST",data: {"username": "chao","password": 123456,"csrfmiddlewaretoken": $("[name = 'csrfmiddlewaretoken']").val...
2016-08-09】{[Csrf token],[Redis]}
SilenceCarrot的专栏
08-09 1285
什么是CSRFCSRF又叫“跨站点请求伪造(Cross-Site Request Forgeries,CSRF)”,CSRF攻击是指攻击者通过设置好的陷阱,前置对已完成认证的用户进行非预期的个人信息或者设定信息等某些状态的更新,属于被动攻击。 跨站点请求伪造可能会造成一下影响:   利用已通过认证的用户权限更新设定信息等;   利用已通过认证的用户权限购买商品;   利用已通过
关于CSRF csrftoken
猪肉炖白菜
05-08 1006
CSRF 虽然利用了session验证机制的漏洞,一般使用加密token的方式防御,但是其本身session以及JWT token没有直接联系。 描述# CSRF利用用户正常登录产生的cookie,利用钓鱼网站传给用户发送一张有内容的表单,并携带用户的正常cookies访问网站,达到将伪造的表单通过用户之手传到网站上的目的。为了避免用户提交其他网站生成的表单,网站在用户登录时签发给用户一个c...
csrf_token的后端实现
最新发布
rasssel的博客
09-29 792
CSRF Token 就是一串随机码,后端在用户会话中保存一份,前端每次提交也带一份,后端检查两份是否一致。这样,攻击者虽然能诱导浏览器带上 Cookie,却拿不到 Token,所以伪造请求会失败。
CSRF攻击报错Forbidden (403)的Token验证机制
shejizuopin的博客
05-22 451
跨站请求伪造(CSRF攻击是一种利用用户登录状态执行未授权操作的安全漏洞。为防御此类攻击Token验证机制被广泛采用。该机制通过在请求中嵌入随机生成的Token,并在服务器端验证其有效性来防止CSRF攻击。本文通过FlaskDjango的代码示例,展示了如何实现Token验证机制,并对比了手动实现与框架内置机制的优缺点。总结指出,Token验证机制是防御CSRF攻击的有效手段,开发者应根据框架特点选择合适的实现方式,确保Token的安全生成、传输验证,以提升应用安全性。
CSRF】动态生成CSRF_TOKEN
BOBO博客
12-27 2474
项目场景: 项目相关背景: 在日常项目开发过程中,很多敏感的数据接口都很容易被恶意访问调用,这种情况下为了避免接口被跨页面攻击(以下统称:Cross-site request forgery(CSRF)),都会在请求接口出增加临时token,避免接口被恶意调用,但是很多框架只支持静态页面生成渲染CSRF TOKEN,对动态api接口并不友好(前后端分离),只能自己写动静都支持的代码逻辑; 业务代码: 以下是相关的示例代码,此代码支持动态api接口使用,能满足各个业务端使用,每次调用验证完成之后都会自动
csrf_token配置正确,却报错 禁止访问,渲染的页面里也没有csrf的input
学习笔记,不喜勿喷!!勿喷!!
04-15 407
小编的错误在于: class posting(View): def get(self, request): template = get_template('posting.html') moods = models.Mood.objects.all() message = '如果要张贴信息,每个字段都要填1...' ...
csrf_token跨站请求伪造保护验证
weixin_40105587的博客
03-09 2450
伪造:其实请求伪造是客户端发的 恶意网站不需要客户端的访问记录保护:(使用POST请求方式 , 本质是在请求的参数上加上随机字符串进行混淆)1 .当客户端请求服务器 服务器端根据 secret_key 生成一个随机的token  服务器会把这个token 写到返回的cookie里 键为csrftoken 其值为自动生成的token     2 在所有的POST表单中 服务器会自动帮帮我们生成一个隐...
阿里巴巴 JAVA开发手册之表单、AJAX 提交必须执行 CSRF 安全验证 思路流程及代码示例
weixin_42589778的博客
08-29 682
介绍:CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,C...
登陆有CSRFToken验证的网站及下载文件的脚本
lynne233
03-31 2074
今天开会之前整理了一下以前的代码,发现自己以前模拟登陆的时候经常会碰到有csrftoken验证的网站,登陆会遇到一些麻烦,于是写了一个脚本,下面把代码贴出来: #!/usr/bin/env python import sys import requests import time import string login_url="http://www.mooc.buaa.edu.cn/logi
为什么CSRF Token写在COOKIE里面
18年3月萌新白帽子
08-14 2万+
最近做渗透测试的时候经常看到用户的COOKIE信息里带有CSRF等字样的信息,问了一下同事,他们说这个是用来防御CSRF的字段。 这一下可把我弄懵了,因为我对CSRF的理解是:攻击者盗用用户的COOKIE执行非用户本意的操作。 我的想法是,用户的COOKIE就像是一张门禁卡一样,攻击者可以盗用用户的门禁卡,以被盗用户的身份来执行一些设计增删改的操作,既然用户已经盗用了用户的COOKIE刷卡进门...
前端安全之CSRF攻击
yleave的博客
07-03 1290
个人博客 文章目录几种常见的 CSRF 攻击:1. GET 类型的 CSRF 攻击2. POST 类型的 CSRF 攻击3. 链接类型的 CSRFCSRF 特点防护策略同源检测几种 Referer 策略CSRF TokenCookie 的 SameSite 属性REF CSRF(Cross-site Request Forgery),跨站请求伪造攻击,简单来说就是攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送请求,并利用受害者在被攻击网站中获取的用户凭证,达到冒充受害者的目的,并使用受害
网络爬虫逆向(1688工厂)
m0_43402033的博客
05-06 2409
目标网址:more。
【笔记】Python3|爬虫请求 CSRF-Token 时如何获取TokenToken过期、处理 CSRF-Token 需要注意的问题及示例
shandianchengzi的博客
03-19 1万+
注意CSRF-Token可能也在响应头中,以及requests请求的时候要用Session,不然就会过期。
CSRF漏洞原理攻击与防御(非常细)
Karka_的博客
06-07 1769
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账购买商品))。
XSS攻击CSRF攻击
07-23
### XSS攻击CSRF攻击的区别 XSS(跨域脚本攻击CSRF(跨站请求伪造)是两种常见的网络安全攻击方式,它们在攻击原理、目标以及实施条件上存在显著差异。 1. **攻击原理** XSS攻击是通过向网页中注入恶意脚本,使得这些脚本在用户的浏览器上执行,从而窃取用户信息或篡改页面内容。CSRF攻击则是利用用户已经认证的会话信息,伪造用户的请求,使其在不知情的情况下执行某些恶意操作,例如更改账户设置或发起转账[^2]。 2. **实施条件** CSRF攻击需要用户先登录目标网站并获取Cookie或Session信息,攻击者才能以用户的名义发送请求。而XSS攻击并不依赖于用户是否登录,它只需要成功将恶意脚本注入到网页中即可执行[^2]。 3. **攻击目标** XSS攻击主要针对的是网站的内容用户数据,攻击者通过注入的脚本可以访问用户的Cookie、Session等敏感信息,甚至控制用户的浏览器行为。CSRF攻击的目标则是利用用户的合法身份执行未经授权的操作,通常不会直接窃取数据,而是通过伪造请求达到特定目的[^3]。 4. **攻击方式** XSS攻击通常通过在用户输入中插入恶意脚本,例如`<script>`标签或事件处理程序(如`onerror`、`onclick`等),从而在页面加载时自动执行。CSRF攻击则通过诱导用户点击链接或访问恶意网站,向目标网站发送伪造的请求,利用浏览器自动携带的Cookie信息完成攻击[^4]。 --- ### XSS攻击CSRF攻击的防范措施 1. **防范XSS攻击** - **输入过滤**:对用户提交的所有输入进行严格的过滤,移除潜在的危险字符标签,如`<script>`、`<iframe>`、`onerror`、`onclick`等[^5]。 - **输出编码**:在将用户输入的数据输出到页面时,根据上下文进行适当的编码,例如HTML编码、URL编码或JavaScript编码,防止脚本执行。 - **使用CSP(内容安全策略)**:通过设置HTTP头`Content-Security-Policy`,限制页面中只能加载指定来源的脚本,有效阻止内联脚本外部恶意脚本的执行。 - **使用安全框架**:例如在Web开发中使用框架(如React、Angular)时,其默认机制会对动态内容进行转义,减少XSS风险。 2. **防范CSRF攻击** - **使用CSRF Token**:在每个请求中加入一个随机生成的Token,并在服务器端验证该Token的有效性,确保请求来自合法的用户会话。 - **检查Referer头**:服务器可以通过检查HTTP请求头中的`Referer`字段,确认请求是否来自预期的来源,从而防止跨站请求。 - **SameSite Cookie属性**:设置Cookie的`SameSite`属性为`Strict`或`Lax`,限制Cookie在跨站请求中的发送,减少CSRF攻击的可能性。 - **双重提交Cookie**:将CSRF Token同时存储在Cookie请求参数中,服务器验证两者是否一致,确保请求的合法性。 3. **综合安全措施** - **定期更新安全策略**:随着攻击手段的不断演进,必须持续更新防御机制,修补可能存在的漏洞。 - **加强用户安全意识**:教育用户不随意点击不明链接,避免访问可疑网站,降低被攻击的风险。 - **进行安全审计**:对网站进行全面的安全测试代码审查,发现并修复潜在的安全隐患。 --- ```python # 示例:使用Flask框架防止CSRF攻击 from flask import Flask, request, session from flask_wtf.csrf import CSRFProtect app = Flask(__name__) app.config[&#39;SECRET_KEY&#39;] = &#39;your_secret_key&#39; csrf = CSRFProtect(app) @app.route(&#39;/submit&#39;, methods=[&#39;POST&#39;]) def submit(): # 处理提交逻辑 return &#39;Form submitted successfully&#39; ``` ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值