web 扫描漏洞：HTML form without CSRF protection 问题解决

最新推荐文章于 2025-09-30 10:12:00 发布

原创最新推荐文章于 2025-09-30 10:12:00 发布 · 1.5k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#前端

问题故障同时被 2 个专栏收录

30 篇文章

订阅专栏

前端开发

22 篇文章

订阅专栏

文章探讨了利用acunetix扫描工具发现的一种安全漏洞，涉及利用诱导链接窃取用户session或cookie信息。提出通过在表单提交中添加token和随机数参数，并在后台验证一致性来防止CSRF攻击。给出了使用JavaJSP的示例代码。

一.扫描工具：acunetix

二.问题描述

该漏洞主要是利用用户登录网站中的session 或 cookie 信息，采用诱导链接，获取用户浏览器中的相关session 或 cookie ，发送恶意请求或重复攻击；

三.解决方法

1.在提交浏览器表单信息时，增加 token 或随机数参数，并将参数写入到 session 信息；后台校验时，通过对比表单参数和 session 中的参数的一致性，判断表单提交是否是来源于页面的正常请求。

jsp 页面代码如下：

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
 <% //增加随机数，解决 CSRF 漏洞
		String uuid = UUID.randomUUID().toString().replaceAll("-", "");
		request.getSession().setAttribute("randTxt",uuid);
		//设置cookie只读
		String sessionid = request.getSession().getId();
		response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure ; HttpOnly");  %>

表单提交时，增加随机数参数：

<input type="hidden" name="randSesion"  value = "<%=request.getSession().getAttribute("randTxt")%>" />

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

dazhong2012

关注关注

3
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

asp html表单没有csrf保护,ASP.NET MVC 和网页中的 XSRF/CSRF 防护

weixin_31849853的博客

06-28

572

ASP.NET MVC 和网页中的 XSRF/CSRF 防护03/14/2013本文内容跨站点请求伪造(也称为 XSRF 或 CSRF)是一种针对 Web 托管型应用程序的攻击，恶意网站凭此可以影响客户端浏览器与受该浏览器信任的网站之间的交互。这些攻击出现的原因可能是 Web 浏览器针对每一个对网站的请求自动发送身份验证令牌。典型示例是身份验证 cookie，如 ASP.NET 的表单身份验证...

1 条评论您还未登录，请先登录后发表或查看评论

1 条评论

优快云-Ada助手 2024.05.05
哇, 你的文章质量真不错，值得学习！不过这么高质量的文章, 还值得进一步提升, 以下的改进点你可以参考下: (1)提升标题与正文的相关性；(2)增加除了各种控件外，文章正文的字数；(3)使用更多的站内链接。

【csrf防御】springboot项目如何防御csrf

run_boy_2022的博客

06-14

1787

CSRF(Cross-Site Request Forgery) ,通过单词简单理解就是跨站点请求伪造，用通俗简单点就是攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的操作1、用户打开浏览器访问受信任网站A，输入用户名和密码请求登录网站A；2、在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A；3、用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B；

HTML表单没有CSRF保护漏洞

最新发布

破损的天堂鸟博客

09-30

1239

攻击者通过诱导已登录的合法用户在不知情的情况下，点击恶意链接或访问恶意页面，从而以用户的名义向目标网站发送伪造的请求，执行非预期的操作，如修改密码、转账、删除数据等。该模式的有效性基于 CSRF 攻击的一个关键前提：攻击者可以伪造请求的全部内容，但无法读取或获取目标网站域下的响应内容或受保护的资源（如同源策略所限制）。攻击者可以伪造一个请求，让用户的浏览器自动携带目标域的 Cookie，但攻击者的脚本无法读取这个 Cookie 的内容，因此也无法将正确的值复制到请求头中。头，确保请求来自预期的源站点。

HTML form without CSRF protection,HTML表单没有CSRF保护

收集盒 Book box

07-18

6923

HTML form without CSRF protection =HTML表单没有CSRF保护 CSRF是伪造客户端请求的一种攻击，CSRF的英文全称是Cross Site Request Forgery，字面上的意思是跨站点伪造请求。这种攻击方式是国外的安全人员于2000年提出，国内直到06年初才被关注，早期我们使用过CSRF攻击实现了DVBBS后台的SQL注射，同时网上也出现过动易后台

HTML form CSRF保护,694816 – HTML form without CSRF protection

weixin_32048757的博客

06-29

906

Neeraj Kumar2013-11-27 09:33:26 UTCCross-site request forgery, also known as a one-click attack or session riding and abbreviated as CSRF or XSRF, is a type of malicious exploit of a website whereby u...

html表单缺乏csrf防护,表单验证因缺少CSRF而失败

weixin_30394975的博客

06-19

1567

我重置了本地flask环境，但是没有通过捕获它的依赖项，pip freeze然后再将其删除。因此，我不得不重新安装整个堆栈的最新版本。现在，我突然无法使用表单进行验证了。Flask声称CSRF将丢失。def register():form = RegisterForm()if form.validate_on_submit():...return make_response("register.h...

详解如何在spring boot中使用spring security防止CSRF攻击

08-27

CSRF 攻击可以盗用用户的身份，以用户的名义发送恶意请求，造成的问题包括：个人隐私泄露以及财产安全。 Spring Security 中的 CSRF 防护机制 Spring Security 提供了 CSRF 防护机制，可以保护用户免受 CSRF 攻击...

详解HTML5中表单验证的8种方法介绍

01-19

另一方面，设计表单验证是为了让Web应用更快地抛出错误。换句话说，最好利用浏览器内置的处理机制来告知用户网页内包含无效的表单控件值。过去，数据在网络上转一圈，仅仅是为了让服务器通知用户他输入了错误的...

使用Acunetix Web Vulnerability Scanner扫描漏洞解决方法（积累）

qq_27942899的博客

07-10

3567

1、Apache JServ protocol service 注释掉tomcat的server.xml <Connector port="8009" protocol="AJP/1.3" redirectPort="8443"/>2、Slow HTTP Denial of Service Attack将tomcat的server.xml 的<Connector URIEncod...

pip show Flask-WTF Name: Flask-WTF Version: 1.2.2 Summary: Form rendering, validation, and CSRF protection for Flask with WTForms. Home-page: Author: Author-email: License: Copyright 2010 WTForms Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. Neither the name of the copyright holder nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission. THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. Location: C:\Users\Administrator\AppData\Local\Programs\Python\Python311\Lib\site-packages Requires: flask, itsdangerous, wtforms Required-by: PS F:\tg\pyCharm\.vscode>

07-19

return "CSRF Protection Enabled" if __name__ == '__main__': app.run(debug=True) ``` --- ## ✅ 总结 | 问题 | 解决方式 | |------|----------| | `无法解析导入 flask_wtf.csrf` | 检查 VS Code 使用的 ...

html form without csrf protection,尽管在表单中发送CSRF令牌，但不支持Spring Security CSRF 405方法POST...

weixin_35123047的博客

06-18

853

我使用的是Spring框架版本4.3.5.RELEASE . Spring安全版是4.2.2.RELEASE .我正面临一个与CSRF有关的奇怪问题 . 每当我提交一个表单(来自JSP文件)， Sometimes it works fine, the form gets submitted without error but sometimes after submitting the form...

html表单没的csrf保护,表单与csrf保护

weixin_40003046的博客

06-19

1425

## 表单提交和CSRF在本课程中，我们将介绍将表单数据提交到服务器的基本工作流程。在此过程中，我们将介绍一个新概念：`CSRF`(跨站点请求伪造)。### 新手建议前面几节我们介绍了如何从数据库中获取数据，使用 `Tinker` 添加测试数据。接下来我们在页面中实现添加数据并展示。> 不论做任何复杂的功能，都是从简单开始，慢慢迭代，这里给新手一个建议，不论做什么都先按照 `路由->控...

asp html表单没有csrf保护,CSRF在ASP.NET Core中的处理方法详解

weixin_39857792的博客

06-28

646

前言前几天，有个朋友问我关于AntiForgeryToken问题，由于对这一块的理解也并不深入，所以就去研究了一番，梳理了一下。在梳理之前，还需要简单了解一下背景知识。AntiForgeryToken 可以说是处理/预防CSRF的一种处理方案。那么什么是CSRF呢？CSRF(Cross-site request forgery)是跨站请求伪造，也被称为One Click Attack或者Sessi...

html表单没有csrf保护,如何在Symfony 1.4中为表单禁用CSRF保护/验证

weixin_36411269的博客

06-19

292

csrf令牌可为你的表单提供保护, 使其免受跨站请求伪造(CSRF)的攻击, 该攻击迫使最终用户在当前已通过身份验证的Web应用程序上执行不需要的操作。在某些项目中, 由于缺少在视图中定义同一实体的多种形式的symfony, 你最终将使用HTML手动设计表单(这意味着视图上未呈现任何sfForm实例, 并且没有CSRF保护已启用), 但是使用symfony的默认绑定器存储来自数组的信息, 例如：/...

没有CSRF保护的HTML表单

Tastill的博客

08-18

2423

https://blog.youkuaiyun.com/qq_29277155/article/details/106868701