关于token防止CSRF的一点想法

最新推荐文章于 2024-07-22 21:24:30 发布
最新推荐文章于 2024-07-22 21:24:30 发布 · 1.2k 阅读 · 2
文章标签:

#TOKEN CSRF REFER

本文介绍了一种通过生成和验证token来防止CSRF攻击的方法。服务器生成token并保存于session中,客户端表单提交时携带该token,服务器端验证token的有效性后将其失效,以此确保请求来源的安全性。
一、生成策略
1、服务器端根据一定算法,生成token;
2、保存到session中;
3、前台form表单中取到session放到隐藏标签内;
4、提交表单后和session中token比较,然后失效掉原先的session;

[color=red][b]示例代码:[/b][/color]

class Token(){
		...

		session.setAttribute("TOKEN","token");

		...
	}




<form>
   <#-- freemaker取值方式 -->
   <input type="hidden" id="_token" name="_token" value="${TOKEN}" />
</form>

class Action(){
	...
	if(session.getAttribute("TOKEN").equals(request.getParameter("_token"))){}
	...		
	}


二、防止CSRF原理
用户请求信息的时候,被骇客获取中间请求信息,当然也会获取token信息,但是因为骇客并不能阻止用户请求到目标网站。
用户请求目标网站之后,token已经被校验。所以骇客获取的token信息依然无用。
当时骇客如果在用户请求到目标网站之前先去请求到目标网站,token的作用就没有了。


当然,预防CSRF攻击对refer校验也是不能少的。
CSRF攻击原理与防御方法
墨痕诉清风的博客
02-25 4975
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
3步实现SpringBoot无感刷新Token:再也不怕中途掉线
java专栏
10-30 1055
通过今天的分享,相信你已经掌握了在SpringBoot项目中实现无感刷新Token的方法。无论是简单的登录认证,还是复杂的Token管理,JetCache都能帮你轻松应对。希望这篇文章能够帮助你在未来的开发中更加高效地使用Token认证技术。如果你有任何问题或建议,欢迎在评论区留言,让我们一起交流,共同进步!
通信安全//为什么 token可以防止 csrf?
weixin_37877794的博客
07-27 2527
参考 Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中。 所以CSRF本质原因是“重要操作的所有参数都是可以被攻击者猜测到的”,Token加密后通过Cookie储存,只有同源页面可以读取,把Token作为重要操作的参数,CSRF无法获取Token放在参数中,也无法仿造出正确的Token,就被防止掉了。
Token如何防止CSRF漏洞
Ethan024的博客
03-20 1385
Token如何防止CSRF漏洞 CSRF的主要问题是敏感操作的链接容易被伪造,因此每次请求,都添加一个随机码(需要足够长度,足够随机,不容易被伪造),后台每次对这个随机码进行验证。 实验环境: 皮卡丘靶场—CSRF Token 实验步骤: 输入用户名和密码:lucy/123456 修改信息,将ShangHai修改为ShangHai xxx,并且用burpsuite抓包,可看见响应头设置的Token值。 查看后端源代码,发现input标签里面有个token: 将响应头复制出来进行修改 再重
CSRF漏洞Token防御介绍
一米八多的瑞兹的博客
11-25 1082
1.漏洞修补逻辑分析 CSRF漏洞实质:服务器无法准确判断当前请求是否是合法用户的自定义操作。如果服务器在用户登录之后给予用户一个唯一合法令牌,每一次操作过程中,服务器都会验证令牌是否正确,如果正确那么执行操作。不正确不执行操作。 一般情况下,给予的令牌会写入表单中隐藏域的value值中,随着表单内容进行提交。 2.简单代码模型分析 3.生成Token代码分析 Token作为识别操作是否是当前用户自己操作的唯一凭证,需要设置为复杂难以被破解的内容。 例如: function generateToken()
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击?
jinyangjie的博客
02-14 7411
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
token 防止csrf
weixin_30393907的博客
11-24 222
转自:ttps://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/#icomments 当前防御 CSRF 的几种策略 验证 HTTP Referer 字段 根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,比如需...
token为什么能防止csrf_CSRF漏洞探讨
weixin_39753211的博客
11-29 1981
今天和大家聊聊CSRF(Cross—Site Request Forgery)跨站点请求伪造背景:节后上班的第一天,无心工作,还被告知今天的文章还没有发,心塞。又被告知负责的某个产品下某个页面存在一个跨站请求伪造漏洞,该漏洞会导致攻击者可以恶意通过浏览器盗用用户身份信息发送一些恶意请求,可能会存在盗号风险,心更塞。惨痛的教训总结最深刻的经验,这波经验无私奉献给你们。一、CSRF原理什么是...
为什么CSRF Token能够放在Cookie中
h1nt的博客
08-30 3395
0x01 前言 在某次测试中注意到网站的CSRFTOKEN放在Cookie中,感觉和之前的一些知识起了冲突。遂查了些资料整理明白了,并记录于此文。 0x02 CSRFCSRF Token 相信有很多师傅的知识都是通过道哥的《白帽子讲WEB安全》中习得的,里面有一个删除搜狐博客的例子,从大体来说可以概括如下: 对于防御方法,很多博文中也有介绍,就是通过种种形式添加CSRF Token 0x03 疑问&解答 然后呢在某次测试中,抓到的包如下 可以看到有多个csrftoken的字样,当
跨站请求伪造(CSRF)攻击:解析与防御策略
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-22 1057
CSRF攻击发生在当一个恶意网站或链接诱使已登录特定应用的用户点击时,用户的浏览器会自动携带相应的Cookie发送到服务器,导致在用户不知情的情况下执行了恶意请求。这种攻击通常针对敏感操作,如转账、更改密码或提交表单等,因为这些操作往往不需要再次验证用户身份。跨站请求伪造(CSRF)攻击是Web开发中不容忽视的安全隐患。通过理解其原理并采取有效的防御措施,我们可以大大降低被攻击的风险。前端开发者应当熟悉CSRF防御策略,并在实际工作中积极应用,以保护用户数据的安全。
XSS、CSRF、SSRF
网络安全知识分享
09-22 8875
XSS、CSRF、SSRF相同不同修复方式面试题: 相同不同 相同点: XSS,CSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 相同点: XSS,CSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点: XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的脚本语句被执行。 CSRF(跨站请求伪造)是服务器端没有对用户
为什么token能够防止CSRF(修正版)
qq_45888932的博客
04-06 1万+
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
为什么 token可以防止 csrf?
weixin_38655450的博客
06-18 745
Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中。 ...
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
为什么token防止csrf攻击
u011982711的博客
02-07 1814
用户登录了A网站,此时A网站与用户建立session,在浏览器上setCookie,JSESSIONID=cb4f911c-39d9-4f2a-b762-3a07396722fa; NG_TRANSLATE_LANG_KEY=%22en%22; 用户访问B网站,B网站有个诱导href=“www.A.com?delete",用户点击了,因为用户当前已经登陆了A网站,所以用户被诱导删除了。原因是浏览器区访问A网站时,A网站是通过request获取cookie,从而获取sessionid,获得了用户的登录状态,
token为什么能防止csrf_「Burpsuite练兵场」CSRF(二)
weixin_39770821的博客
12-10 780
Burpsuite练兵场系列文章更新啦,今天的内容是延续上期关于CSRF的内容介绍,感兴趣的小伙伴千万别错过了呦!上期回顾「Burpsuite练兵场」CSRF(一)实验一:Token关联到非会话cookie实验提示:应用程序 email change模块存在CSRF漏洞,启用了token防护,但是并未将csrf令牌防护整合到会话管理中。实验要求:构造CSRF利用代码并上传到exploit serv...
Token验证对CSRF的意义
JBlock的博客
10-28 4107
在前面我已经就DVWA作为实验环境对csrf攻击进行了测试,并且利用漏洞成功修改了密码。实现了了跨站请求伪造攻击。而攻击成功的原因就是因为验证机制不够严谨。今天我就当前最流行的也是最安全的验证机制做一下讨论。Csrf攻击的本质就是重要操作的所以参数都可以被攻击者猜测了解到。攻击者知道所以参数的意义就可以构造出合适的链接发起攻击。所以,有一种解决方案就是对参数进行加密,但这样对数据分析工作和数据收藏就
token为什么能防止csrf_寻找CSRF漏洞的技巧
weixin_39688687的博客
12-05 249
CSRF即跨站请求伪造,说的简单点,实际上就是攻击者伪造一个表单数据的URL链接,让用户去点击,从而达到我们获取数据的目的,当然,不止是获取数据,修改我们想要的密码、新增个管理员账户、上传个木马等,能达到我们的攻击目的就行。 在我做渗透测试工作的时候,通常探测CSRF漏洞也很简单,也算是个小技巧吧。抓取一个网站的POST请求,删除Referer字段(无Origin字段,有就删),进行重放即可,如...
token防止csrf 统一封装axios
最新发布
03-08
### 如何使用 Token 在 Axios 中统一封装以防止 CSRF 攻击 为了有效防止跨站请求伪造 (CSRF) 攻击,在 `uni-app` 或其他 Vue 应用程序中可以通过统一配置 Axios 实现自动化处理。具体做法是在每次 HTTP 请求时自动附加安全令牌到头部字段,从而验证用户身份合法性。 #### 统一设置默认参数与拦截器 创建一个独立文件用于管理所有 API 调用逻辑,并在此处定义全局性的 Axios 配置选项以及自定义中间件函数: ```javascript // api.js import axios from 'axios'; const service = axios.create({ baseURL: process.env.NODE_ENV === 'production' ? '/prod-api/' : '/dev-api/', // 动态切换前后端分离项目接口地址 timeout: 5000, // 请求超时时间 }); service.interceptors.request.use( config => { const token = uni.getStorageSync('token'); // 假设已登录状态下存储于本地缓存中的访问凭证 if(token){ config.headers['Authorization'] = `Bearer ${token}`; // 对每个发出的数据包追加认证信息 config.headers['X-CSRF-TOKEN'] = token.split('.')[1]; // 提取 JWT Payload部分作为同步Token[^1] } return config; }, error => Promise.reject(error) ); export default service; ``` 上述代码片段展示了如何利用 Axios 的拦截机制实现对每一次网络通信过程的安全增强措施。特别注意这里不仅加入了常规的身份验证头 (`Authorization`) ,还额外引入了一个名为 `X-CSRF-TOKEN` 的自定义属性用来携带经过特殊处理后的 JSON Web Tokens(JWT)[^2] 。这种设计模式有助于服务器端识别并校验来自客户端提交的信息真实性,进而抵御潜在恶意行为的影响。 此外,还需确保服务端能够正确解析这些附加的HTTP Header 并执行相应的防护策略,比如对比 session 和 header 中提供的 csrf-token 是否匹配等操作[^3]。 #### 客户端和服务端协同工作 除了前端应用层面的努力外,后端也需要配合完成整个防御体系构建。通常情况下,当用户成功登陆之后,服务器会返回一对包含有唯一标识符的新鲜有效的csrf-token给浏览器保存起来;而在后续交互过程中,则要求应用程序随同每一个可能引起状态变更的动作一起发送该标记供后台审查确认无误后再继续下一步流程。 综上所述,通过合理运用 Axios 插件特性并与业务需求紧密结合的方式可以在很大程度上提高系统的整体安全性水平,减少遭受外部威胁的风险几率。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值