防止跨站攻击——CSRFToken

最新推荐文章于 2025-06-06 10:29:09 发布
原创 最新推荐文章于 2025-06-06 10:29:09 发布 · 1.2w 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CSRFToken #防止跨站攻击

怎么防止跨站攻击:

表单:在 Form 表单中添加一个隐藏的的字段,值是 csrf_token。

非表单:在ajax获取数据时,添加headers:{ 'X-CSRFToken':getCookie('csrf_token') }。

原理:在浏览器访问网站A时,网站A设置cookie会增加随机值csrf_token,这个值是随机的。返回给浏览器时,cookie会储存在浏览器,同时会把csrf_token传给表单里面的隐藏字段。所以当浏览器用自己的表单时会自带csrf_token,网站A取到这个值和cookie里的csrf_token一致就通过。而网站B里面的表单没有这个值,所以不能通过,这样就阻止了恶意攻击。非表单也是这样的原理。



CSRFProtect(app)

  上一步的作用:    # 开启CSRF保护(不会设置随机值。只会对比随机值,没有或错误都无法访问路由

                               # 从现在起,程序会获取cookie中的随机值,以及从表单或者ajax中获取随机值,进行对比

                               # 如果对比失败,则无法访问路由

                               # 后续需要设置随机值到cookie中,以及增加ajax中的headers


表单:在 Form 表单中添加一个隐藏的的字段,值是 csrf_token。

<form method="post">
    <input type="hidden" name="csrf_token" value="{{ csrf_token }}">
    <label>账户:</label><input type="text" name="to_account" placeholder="请输入对方账户"><br/>
    <label>金额:</label><input type="number" name="money" placeholder="请输入转账金额"><br/>
    <input type="submit" value="转账">
</form>

非表单:在ajax获取数据时,添加 headers:{ 'X-CSRFToken':getCookie('csrf_token') }。

        $.ajax({
            url:"/passport/login",
            method: "post",
            data: JSON.stringify(params),
            contentType: "application/json",
            headers:{
                'X-CSRFToken':getCookie('csrf_token')
            },
            success: function (resp) {
                if (resp.errno == "0") {
                    // 刷新当前界面
                    location.reload();
                }else {
                    $("#login-password-err").html(resp.errmsg)
                    $("#login-password-err").show()
                }
            }
        })




csdn-gdj
关注
【第九周】通过csrf(get)进行地址修改实验演示、token详解及常见防范措施、远程命令、代码执行漏洞原理及案例演示 等等
weixin_44722125的博客
05-05 627
通过csrf(get)进行地址修改实验演示 先登陆一下 修改地址 submit即可修改 如何确认此处是否存在CSRF漏洞 首先这是一个敏感信息修改,其次看下burp数据包 GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=shenyang&email=...
csrf token作用
neu_xiaolu的博客
06-05 1万+
作用: 是防御CSRF攻击。 如何生成? 在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。 应用: 表单中:添加隐藏字段csrf_token,来启用csrftoken验证 <form action="/add-...
彻底搞懂网络安全中的 CSRF 攻击,(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
Button12138的博客
06-06 1255
各位网络安全爱好者,今天咱们来聊聊一个老生常谈但又不得不防的安全漏洞——,也就是跨站请求伪造。别看它名字挺唬人,其实理解起来一点都不难。保证你看完这篇文章,就能像躲避老板突击检查一样,轻松应对 CSRF 攻击
CSRF攻击防止
zhangmoyan9527的博客
08-14 1216
  CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。   CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证   防止 CSRF 攻...
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
invalid csrf token 问题解决
lepton126的专栏
09-06 2万+
该条消息意是指浏览器无法创建安全的cookie或者无法读取授权登录的cookie,应该是浏览器本身不允许设置cookies。 以下步骤可解决这个问题。 Chrome 打开Chrome的设置。 在隐私设置和安全性版块中,点击Cookies及其他网站数据。 下滑到始终能使用 Cookie 的网站并点击添加。 复制粘贴"[*.]example.com"并点击添加。 然后复制粘贴"[*.]test.net"并点击添加。 点击所有cookies和网站数据,搜索example或test,然后删除所有的相关条目。 重
【web安全】——CSRF跨站请求伪造
wxh的博客
10-05 1516
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求。
WEB漏洞——CSRF
qq_63594215的博客
04-11 1063
这次我来讲讲web漏洞的CSRF笔记总结,主要通过原理、类型、示例以及防御的角度展开说明,希望读者受益。CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF,是一种对网站的恶意利用。CSRF是通过伪装用户的请求来利用网站,利用网站漏洞从用户那里盗取信息说白了,就是攻击者盗用了你的身份,以你的名义发送恶意请求。
跨站请求伪造(CSRF攻击:解析与防御策略
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-22 955
CSRF攻击发生在当一个恶意网站或链接诱使已登录特定应用的用户点击时,用户的浏览器会自动携带相应的Cookie发送到服务器,导致在用户不知情的情况下执行了恶意请求。这种攻击通常针对敏感操作,如转账、更改密码或提交表单等,因为这些操作往往不需要再次验证用户身份。跨站请求伪造(CSRF攻击是Web开发中不容忽视的安全隐患。通过理解其原理并采取有效的防御措施,我们可以大大降低被攻击的风险。前端开发者应当熟悉CSRF防御策略,并在实际工作中积极应用,以保护用户数据的安全。
详解php curl带有csrf-token验证模拟提交方法
10-18
为了防止跨站请求伪造(CSRF攻击,网站开发者会在表单中加入一个一次性使用的随机令牌(token)。该令牌会在服务器端生成,并在用户提交表单时验证其有效性。 本篇内容将详细介绍如何使用PHP curl进行带有CSRF...
Django——CSRF权限认证处理
胖大xian
02-08 741
CSRF权限认证 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 一、简单说明csrf如何操作 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经
Pikachu靶场:CSRF(GET)、CSRF(POST)以及CSRFtoken)
witwitwiter的博客
04-18 4952
Pikachu靶场:CSRF(GET)、CSRF(POST)以及CSRFtoken) 实验环境以及工具 Firefox浏览器、Burp Suite、Pikachu靶场 实验原理 Cross-site request forgery 简称为“CSRF”,在CSRF攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不
CSRF 攻击的应对之道
sarck3的专栏
02-12 1161
简介: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析
CSRF:修改用户的个人信息(get/post方式)/源码分析token的防范
weixin_43726152的博客
05-17 1213
GET 方式: 0x0 攻击者Kobe先在网站上注册一个账号,进入修改信息界面: 0x1 用burp抓包发现是get方式,而且没有token验证。 0x2 直接构造恶意链接即可 127.0.0.1/pika/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=18912121212&add=WuHan&email=kobe%40pikachu.com&submit=submit 目标主机只要点击了链接就会被修改。 前端
Flask CSRF的保护与cookie中的 csrf_token 和表单中的 csrf_token实现
xiaoming0018的博客
02-14 1940
Flask中请求体的请求开启CSRF保护可以按以下配置 from flask_wtf.csrf import CSRFProtect   app.config.from_object(Config)   CSRFProtect(app) #像任何其它的 Flask 扩展一样,你可以惰性加载它: from flask_wtf.csrf import CsrfProtect csrf = C...
PHP抖音最新视频提取代码
qq_36203073的博客
05-18 2509
抖音视频最新提取源码
【笔记】Python3|爬虫请求 CSRF-Token 时如何获取TokenToken过期、处理 CSRF-Token 需要注意的问题及示例
shandianchengzi的博客
03-19 1万+
注意CSRF-Token可能也在响应头中,以及requests请求的时候要用Session,不然就会过期。
Python爬虫:爬取各种视频
m0_65438914的博客
02-21 9482
各种视频爬取,短视频,中视频,长视频等等
ASP.NET中防止CSRF攻击的有效方法
在网络安全领域,防止跨站请求伪造(CSRF攻击是一种至关重要的措施,尤其是对于使用ASP.NET技术构建的Web应用程序。CSRF攻击是一种常见的网络攻击方式,攻击者利用用户对某个网站的信任,诱使用户在已经认证的状态...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值