CSRF面试题

最新推荐文章于 2025-11-25 10:25:53 发布
原创 最新推荐文章于 2025-11-25 10:25:53 发布 · 285 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #前端 #网络安全 #web安全

什么是CSRF攻击,如何避免

CSRF,跨站请求伪造,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

  • Tom 登陆银行,没有退出,浏览器包含了Tom在银行的身份认证信息。
  • 黑客Jerry将伪造的转账请求,包含在在帖子
  • Tom在银行网站保持登陆的情况下,浏览帖子
  • 将伪造的转账请求连同身份认证信息,发送到银行网站
  • 银行网站看到身份认证信息,以为就是Tom的合法操作,最后造成Tom资金损失。
  • 怎么解决CSRF攻击呢?
    同源检测Samesite Cookie
    检查Referer字段。添加校验token。
    需要输入验证码

samesite防御CSRF的原理

SameSite有三个属性Lax, Strict, None

  1. Lax:b站上通过超链接访问a站,会携带a站cookie。b站通过img标签等跨越请求a站时,不会携带cookie,设置的cookie也不会起作用
  2. Strict:b站上通过超链接访问a站,不会携带a站cookie。b站通过img标签等跨域请求a站时,不会携带cookie,设置的cookie也不会起作用
  3. None:b站上通过超链接访问a站,会携带a站cookie。b站通过img标签等跨域请求a站时,会携带cookie,设置的cookie起作用

CSRF分类与防护

1. GET类型的CSRF

在受害者访问含有恶意链接的img等相关恶意链接时,浏览器自动跳转发出http请求。

2. POST类型的CSRF

使用一个自动提交的表单
访问恶意网站时,表单会自动提交相当于模拟用户完成了一次POST操作。

防御手段

  • 将Cookie设置为HttpOnly
  • 使用JWT token进行会话
  • 通过Refer识别,判断是否是本网站域名。
  • 二次验证,验证码或输入密码
中间件和csrf面试题
weixin_30311605的博客
07-19 426
from django.views.decorators.csrf import csrf_exempt 使用该装饰器,代表该函数可以免csrf认证 @csrf_exempt def function(request)   pass 面试题csrf是什么?用过中间件做了什么?在那中间件的哪一个方法认证? 答:csrf 是在执行函数的时候校验是否带有一个随...
常见面试题:XSS和CSRF原理及防范方法
weixin_46191445的博客
04-29 761
浏览器向服务器请求的时候被注入脚本攻击(非持久性跨站脚本攻击)攻击方法:攻击者把带有恶意脚本代码参数的URL地址发送给用户(持久性跨站脚本攻击)具有攻击性的脚本被保存到了服务器端数据库,并且可以被普通用户完整的从服务中取得并执行,从而获得了在网络上传播的能力。这种攻击类型不需要服务器端支持,是由于DOM结构修改导致的。
面试题:什么是CSRF攻击,如何避免
jakelihua
06-11 373
明确数据范围:在使用HTTP协议进行请求时,为了防止 Cross-site Request,需要在 HTTP 请求头中加入一个随机的 token 作为校验码,在服务端比较 token 值与 cookie 中存储的值是否相同,若不同则拒绝请求。综上所述,为了防止CSRF攻击,我们应该养成使用 HttpOnly 属性的 cookie 以及在cookie中存储数据范围及请求随机 token 的良好习惯,此外合适地设计url结构来限制用户表单提交也是一种有效方法。
前端网络安全面试题CSRF 与 XSS
2401_84969775的博客
05-14 1053
跨站请求伪造是一种攻击手段,攻击者通过恶意构造一个链接或表单,诱使用户在已登录的目标网站上执行非本意的操作。当用户点击或提交这个恶意内容时,浏览器会自动带上用户的认证凭据(如session cookie),服务器误以为这是用户自己发起的合法请求,从而执行了攻击者设计的操作。例如,攻击者可能通过CSRF获取用户的转账权限,在用户不知情的情况下转走账户资金。防范措施使用CSRF令牌:服务器端为每个敏感操作生成一个一次性使用的随机令牌,并将其附加到表单中或作为Cookie的一部分发送给客户端。
java 入门面试题
ConstXiong
04-04 5万+
起因 焦虑。每次自己想跳槽的时候,内心总是担忧着那些面试题怎么解答。 很多问题在实际工作中并不会遇到,没有实际的解决问题经验,看过也记不住。 假如我明年需要换工作,那现在把下次的面试准备工作,拆分、融入到平时的每天中,会不会取得更满意的offer? 目标 收集网上各种经典的 java 面试题 做出答案,分享出去,和猿友讨论,不断进步 扩大知识图谱,扎实基础,梳理知识脉络 ...
10万字208道Java经典面试题总结(附答案)
热门推荐
学Java,找哪吒
08-02 104万+
1、JDK 和 JRE 有什么区别? JDK(Java Development Kit),Java开发工具包 JRE(Java Runtime Environment),Java运行环境 JDK中包含JRE,JDK中有一个名为jre的目录,里面包含两个文件夹bin和lib,bin就是JVM,lib就是JVM工作所需要的类库。 2、== 和 equals 的区别是什么? 对于基本类型,==比较的是值; 对于引用类型,==比较的是地址; equals不能用于基本类型的比较; 如果没有重写equa
彻底理解前端安全面试题(2)—— CSRF 攻击,跨站请求伪造攻击详解,建议收藏(含源码)
有一棵树的博客
01-02 2816
前端关于网络安全看似高深莫测,其实来来回回就那么点东西,我总结一下就是 3 + 1 = 4,3个用字母描述的【分别是 XSS、CSRF、CORS】 + 一个中间人攻击。当然 CORS 同源策略是为了防止攻击的安全策略,其他的都是网络攻击。除了这 4 个前端相关的面试题,其他的都是一些不常用的小喽啰。我将会在我的《面试题一网打尽》专栏中先逐一详细介绍,然后再来一篇文章总结,预计一共5篇文章,欢迎大家关注~本篇文章是前端网络安全相关的第一篇文章,内容就是 CSRF 攻击。
【2022最新Java面试宝典】—— SpringBoot面试题(44道含答案)
记录各种Bug解决案例及日常学习内容
04-28 12万+
目录1. 什么是 Spring Boot?2. 为什么要用SpringBoot3. SpringBoot与SpringCloud 区别4. Spring Boot 有哪些优点?5. Spring Boot 的核心注解是哪个?它主要由哪几个注解组成的?6. Spring Boot 支持哪些日志框架?推荐和默认的日志框架是哪个?7. SpringBoot Starter的工作原理8. Spring Boot 2.X 有什么新特性?与 1.X 有什么区别?9. SpringBoot支持什么前端模板,10. Spr
2025年常见渗透测试面试题-CSRF/SSRF(题目+回答)
soc的博客
04-09 1645
漏洞关联性:SSRF常与XXE组合实现内网穿透防御体系CSRF:Token + SameSite Cookie + 操作审计SSRF:协议白名单 + 网络隔离 + 请求日志监控语言特性:Java的强类型机制在防御SSRF时更具优势新兴威胁:Serverless架构中SSRF攻击面扩大合规要求:等保2.0对CSRF/SSRF防御提出明确检测标准。
vue常见的面试题
01-07
vue面试题汇集 vue面试题汇总二 vue面试总结三 vue面试题汇总四 vue面试题汇总五 vue面试题汇总六 axios是什么?怎么使用?描述使用它来实现登录功能的流程 1.axios是基于promise使用浏览器好node.js的一个http客服...
大厂Golang开发工程师面试题集锦
06-18
理解web安全问题,如XSS、CSRF等攻击方式及防御措施;HTTP和HTTPS的区别,以及HTTPS的详细加密过程。 7. 数据结构与算法: 掌握常用排序算法如快速排序、堆排序等;处理亿级数据时需要有效的数据结构和算法支持。...
2021总结web渗透测试岗位面试题(个人亲身经历的总结)
小羊的博客
11-26 6551
目录 1·拿到一个待检测的站,你觉得应该先做什么? 2·xss 3·sql注入 4·真实ip 5.多地ping 6·应急响应 7·代码注入漏洞 8·sql注入如何读写文件,二次注入,防御方式 9·csrf和xss区别 10·文件上传的后段绕过,防御方式 11·中间件漏洞——IIS、Apache、nginx、Lighttpd、Tomcat 12·xxe与ssrf 13·rce讲一下,php函数eval和system popen 14·缓冲区溢出 15·数据库提权(mysql,ms
第5篇 | Web应用的“外邪”:XSS、CSRF与SSRF漏洞详解
maqh_csdn的博客
11-23 77
Web应用的“外邪”,不是 直接攻破服务器,而是 利用了Web生态中浏览器、用户和服务器之间复杂的信任关系被滥用;防御的关键不是 单点修补,而是 重构信任边界,向“零信任”模型迈进。
CSRF 攻击(原理与防御)
m0_74065758的博客
11-23 647
CSRF,全称,中文名为“跨站请求伪造”。我们可以用一个简单的比喻来理解它:想象一下,你去银行办理业务,银行柜员给你一张盖好章的空白授权书,并对你说:“之后你拿这张盖了章的文件来,我们就认为是你的本人操作,会直接执行。这时,一个骗子(攻击者)诱导你点击了一个链接。这个链接实际上是向银行发出的转账指令。你的浏览器会乖乖地带着那张“盖好章的授权书”(你的登录凭证 Cookie)去访问这个链接。银行看到授权书上的章是对的,便执行了转账操作。银行:就是你所信任的网站(如网上银行、社交媒体)。
跨站请求伪造(CSRF)漏洞
最新发布
大河之犬的博客
11-25 18
CSRF漏洞利用用户登录状态,诱骗其访问恶意页面发起伪造请求,造成数据篡改、资金损失等危害。攻击流程为:用户登录目标网站后访问恶意链接,浏览器自动携带认证信息发送请求,服务器误判为合法操作。危害程度取决于目标功能,轻则修改个人信息,重则完全接管账户。修复措施包括:使用随机CSRF Token验证请求来源;设置SameSite Cookie限制跨站请求;检查Referer头确认请求域名。现代Web框架通常内置防护机制,但需注意二次验证等设计缺陷。
Vue开发工具使用技巧
2509_93946471的博客
11-24 277
打开DevTools的"Events"标签页,所有组件间传递的事件都会按时间顺序列出来,连事件负载数据都能展开看详情。更绝的是,你还能手动触发事件——比如在父组件里模拟一个事件,直接测试子组件的响应逻辑,省得反复修改代码来调试。如果组件用了作用域插槽,可以在"Scoped Slots"子面板里实时查看slot传递的数据内容,比在模板里写调试代码清爽得多。路由调试经常被忽略。热重载调试时,如果发现修改代码后页面没及时更新,可以到DevTools的"Settings"里勾选"Log reloads"选项。
Python全栈开发项目——AI智能聊天机器人
qiao_yue的博客
11-24 785
本项目实现了AI聊天功能,具有语音输入和聊天背景自定义等亮点功能
Vue3的生命周期
分享学习网络的点点滴滴
11-21 132
Vue3生命周期详解:从创建到卸载的全过程 Vue3的生命周期分为四个主要阶段:创建、更新、卸载和错误处理。创建阶段包含setup()、onBeforeMount()和onMounted();更新阶段有onBeforeUpdate()和onUpdated();卸载阶段包括onBeforeUnmount()和onUnmounted()。setup()替代了Vue2的初始化阶段,是组合式API的入口。子组件的生命周期会先于父组件执行。错误处理可使用onErrorCaptured()捕获和阻止错误传播。这些钩子函
前端xss和csrf预防面试题
06-20
### 前端 XSS 防御方法及 CSRF 预防策略面试题整理 #### XSS 防御方法 XSS(跨站脚本攻击)是一种常见的安全漏洞,攻击者可以通过注入恶意脚本窃取用户信息或操控用户行为。以下是防御 XSS 的常见方法: 1. **避免拼接 HTML** 在前端开发中,应尽量避免动态拼接 HTML 内容,改用框架提供的安全绑定机制。例如,在 Vue.js 中不要使用 `v-html`,在 React 中不要使用 `dangerouslySetInnerHTML`[^2]。 2. **转义输出内容** 对所有用户输入的内容进行严格的转义处理,确保特殊字符(如 `<`, `>`, `&` 等)被正确编码为 HTML 实体。可以使用成熟的库(如 `DOMPurify` 或 `he`)来实现这一功能。 3. **使用 Content-Security-Policy (CSP)** 通过设置 HTTP 响应头中的 `Content-Security-Policy`,限制页面可以加载的资源来源,从而防止恶意脚本执行。对于不支持 CSP 的旧版浏览器,可以考虑设置 `X-XSS-Protection` 头。 4. **过滤用户输入** 在后端对用户提交的数据进行严格校验和过滤,确保只接收合法的输入格式。例如,可以使用正则表达式验证邮箱、手机号等字段[^1]。 5. **使用现代框架的安全特性** 现代前端框架(如 Vue.js 和 React)默认会对模板中的数据进行自动转义,减少 XSS 攻击的风险。开发者只需遵循框架的最佳实践即可。 --- #### CSRF 预防策略 CSRF(跨站请求伪造)是一种利用用户身份认证状态发起恶意请求的攻击方式。以下是预防 CSRF 的常见方法: 1. **引入 CSRF Token** 在每个需要保护的表单或 API 请求中加入一个随机生成的 CSRF Token,并将其存储在用户的会话中。服务器在处理请求时验证该 Token 是否匹配。 2. **SameSite Cookie 属性** 设置 Cookie 的 `SameSite` 属性为 `Strict` 或 `Lax`,限制 Cookie 在跨站请求中的发送行为。这可以有效防止大多数 CSRF 攻击[^3]。 3. **验证 Referer 和 Origin** 检查请求的 `Referer` 或 `Origin` 头是否来自可信域名。如果来源不可信,则拒绝处理该请求[^1]。 4. **双重提交 Cookie** 在请求中包含一个与 Cookie 值一致的参数,服务器验证二者是否匹配。这种方法简单易实现,但需注意安全性。 5. **限制 HTTP 方法** 对于敏感操作(如删除账户、修改密码),仅允许使用 `POST` 或其他非幂等性方法,避免通过 `GET` 请求直接触发操作。 --- #### 示例代码 以下是一个简单的 CSRF Token 实现示例: ```javascript // 前端:将 CSRF Token 添加到请求头中 function addCsrfTokenToHeaders() { const csrfToken = document.querySelector('meta[name="csrf-token"]').getAttribute('content'); if (csrfToken) { fetch('/api/protected-endpoint', { method: 'POST', headers: { 'Content-Type': 'application/json', 'X-CSRF-Token': csrfToken }, body: JSON.stringify({ key: 'value' }) }); } } ``` 以下是一个使用 CSP 的 HTTP 响应头配置示例: ```http Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-cdn.com; style-src 'self' 'unsafe-inline' ``` --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值