由通过seeion识别保存在cookie中的seeionID引发的CSRF问题

最新推荐文章于 2022-12-23 19:57:00 发布

转载最新推荐文章于 2022-12-23 19:57:00 发布 · 300 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/YKingcc/p/9990434.html

本文详细解析了CSRF攻击的过程，重点阐述了攻击者如何利用未登出用户的SESSIONID进行伪造登录。同时，提供了有效的防御策略，包括利用referer、token和验证码检测，避免在链接中暴露用户隐私，使用POST操作进行敏感操作，严格设置cookie的域。

上图是一个完整的CSRF攻击过程解释图

重点是第三句话

用户在没有登出的情况下，被攻击者获得了SESSIONID信息，伪造真用户登录

二、CSRF防御

通过 referer、token 或者验证码来检测用户提交。
尽量不要在页面的链接中暴露用户隐私信息。
对于用户修改删除等操作最好都使用post 操作。
避免全站通用的cookie，严格设置cookie的域。

转载于:https://www.cnblogs.com/YKingcc/p/9990434.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

dingbin1973

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

【SpringBoot系列】 Spring中自定义Session管理，Spring Session源码解析

我是香菜

02-22

1723

Spring中自定义Session管理，Spring Session源码解析香菜香菜

sessionid会被拦截吗_对症下药，51道JavaWeb面试题，有你的盲区吗

weixin_39938269的博客

11-23

376

前言“很多风风雨雨，我都经历过，有一句话叫‘感激伤害你的人，因为他让你变得更强’。但我只想说，伤害就是伤害，没有这些伤害，我也会变得更强，因为我不仅天生励志，我还天生要强。”校招的过程其实挺残酷的，不只是笔试的难题还有面试的考验，甚至还有结果等待的煎熬，其实，对于任何事情没有简单可言，只有是否努力可言。小时候第一个数学，1+1=2，回想很简单，然而曾经的那时并不是如此，所以，自己根据自己面试的内容...

参与评论您还未登录，请先登录后发表或查看评论

cookie、session登录验证csrf

weixin_33722405的博客

04-06

224

cookie 在上节课，我们简单了解了登录过程，但是很明显，每次都需要登录，但是在平常逛网站的只需要登录一次，那么网站是如何记录登录信息的呢？有没有什么办法可以让浏览器记住登录信息，下次再次打开的时候，可以自动登录呢？设置cookie与获取cookie import sys import time import tornado.web import tornado....

xss,csrf,cookie,session

Techml的博客

07-20

643

XSS攻击跨站脚本攻击Django自动屏蔽跨站脚本攻击如果要跳过限制有两种方法在后端屏蔽 from django.utils.safestring import marksafe temp = "<a href='http://www.baidu.com'>百度</a>" newtemp = marksafe(temp) return render(request, 'hello.html', {

【网络】Cookie、Session与Token、JWT及CSRF攻击

Voiceu的博客

06-10

819

由于HTTP是一种无状态的协议，所以当我打开淘宝，登录后，点击跳转结账（另一个页面），服务器端就不知道现在发请求的是不是我了，就得让我再次登录来确认身份。所以每一次请求的发生都是全新的，那么就需要一个来记录身份并且验证的东西，相对于通行证一样。这就是Cookie和Session的作用，流程客户端首次发出请求，服务器端收到后开辟一块 Session 空间（创建了Session对象），同时生成一个 sessionId ，并通过响应头的 **Set-Cookie：JSESSIONID=XXXXXXX **命

spring security下开启csrf，同时支持session.invalidate()调用

InfoSecPractitioner

11-28

4267

最近在做的一个java web项目，要求登录界面信息提交时使用https，登录成功后页面使用http，同时全站使用csrf防御。然后https和http的访问会分别创建两个session，csrf的token存在于https创建的session中，当验证用户身份通过后，跳转到http进入时，新建的session中没有csrfToken，因此被403拒绝访问。解决方法为：在身份验证成功后，跳

cookie和seeion的区别

03-27

嗯，用户之前已经问过GET和POST的区别，现在又问Cookie和Session的区别，可能是在学习Web开发的基础知识。我需要先回顾一下之前给他的回答结构，保持一致性。首先，用户可能已经对HTTP协议有了一些了解，特别是...

seeion\\cookie\\token

03-16

Cookie是由服务器发送给客户端的，客户端再将其存储在本地。 token：令牌，是一种用于身份验证的机制。在Web开发中，token通常用来验证用户的身份，防止恶意攻击。Token是由服务器生成的，客户端需要将其存储在本地...

【JavaEE】Cookie 和 Session

Xian meng在努力呐-的博客

12-23

1557

1. Cookie和Session的相关方法 2. Cookie和Session的流程 3. 模拟登录（页面跳转） 4. 上传文件 5. Servlet相关代码

Flask的seeion库

最新发布

06-06

默认情况下，Flask 的 `session` 数据存储在客户端的 cookie 中，并通过签名来防止篡改。然而，这种方式的存储容量有限，且不适合存储敏感数据。如果需要更安全和灵活的会话管理，可以使用第三方库如 `Flask-Session...

Cookie 与 sessonID

weixin_34146410的博客

03-14

202

Http协议是无状态的，即服务端只能通过你本次提交的http请求来给出响应。cookie可用于服务端标记客户端。如登陆过后免输密码，购物车实现等。 1.cookie Cookie可以通过js代码生成，也可以通过HttpResponse头部中的Set-Cookie属性向浏览器说明。注意格式为 Set-Cookie: <name>=&l...

session和cookie

精通时间管理

08-11

436

1：seesion 由服务器端调用request.getSeeion()时产生（不是请求的时候产生的） 1：设置失效时间之后sessionid会被以cookie的形式发送到客户端，再次请求时seeionid会被自动发送到服务器端，服务器端根据发送过来的 sessionid判断是否过期（这个过程看不到）结果会反映到session.isNew() 2：不设置失效时间 Session的默认失效时间是30分钟， 3: 不同浏览器请求会产生不同的session,不同窗口不会 4：现在浏览器好像都很高级了，即使浏览

cookie 与 sessionId

M_jianjianjiao

01-15

696

cookie 与 sesion http协议是无状态的，每次不会保存用户的状态信息优点：http由于是无状态的，不必保存客户端的状态，所以可以减少服务器的CPU和内存的消耗 http协议十分简单由于http协议是无状态的，无法得知上一次请求的状态信息，当有的需要登陆时，每次的请求都要进行认证，在请求中添加自己的账号密码信息，但是每次都将账号和密码放入其中无疑增加了繁琐程度，每次的请求服务...

牛逼的------02单点登陆-01

qq_28764557的博客

05-23

334

---01---

有关cookie：验证_token、CSRF攻击、保存信息_cookie与本地存储、indexDB、

hhhh

04-28

1291

localStorage和sessionStorage都具有相同的操作方法，例如setItem、getItem和removeItem等 localStorage和sessionStorage的key和length属性实现遍历 IndexedDB 就是浏览器提供的本地数据库，它可以被网页脚本创建和操作。IndexedDB 允许储存大量数据，提供查找接口，还能建立索引。 var db = null; var request = window.indexedDB.open("MyTestDatabase"); r

CSRF、Cookie、Session和token之间不得不说得那些事儿

besmarterbestronger的博客

10-14

6116

文章目录1. 前言2. 什么是crsf？如何防止3. 什么是cookie？有什么用？机制？4. 什么是session？有什么用？机制？5. 什么是token？有什么用？为什么能防止csrf？6. 总结7. 参考文献 1. 前言 2. 什么是crsf？如何防止 3. 什么是cookie？有什么用？机制？ 4. 什么是session？有什么用？机制？ 5. 什么是token？有什么用？为什么能防止cs...

浅谈Session机制及CSRF攻防

hl1293348082的专栏

04-07

944

在讲解CSRF攻击原理及流程之前，我想先花点时间讲讲浏览器信息传递中的Session机制。 Session机制 Session，中文意思是“会话”。对于“会话”我的理解是客户端与服务端间通信的一种方式，也可以简单的理解为一个用户从打开浏览器开始，访问一个web网站，点击某些超链接，访问某些服务端的资源，然后关闭浏览器的这一整个过程就是一次会话。早期，客户端与服务端之间的每次信息传递都是独立的。这与HTTP协议的无状态性有关。用户发送的一个请求只是为了告诉服务端想访问的资源，然后服务端将用户要的资..

Session、Token验证的区别以及CSRF攻击

近光的博客

06-06

8181

Session是什么 session意为“会话”。我们都知道HTTP是无状态的协议，但有时我们需要保存状态来进行后面的操作，比如某个电商网站的购物车功能（在不登录的情况下，也就是不使用数据库），如果不使用session，那么每次添加物品到购物篮后都不会保存，结果就是刷新一下购物篮就会变成空的。所以我们需要这个session来保存一定的状态。当用户打开某个网页的时候，就发生了一次会话，也就是...