跨站请求伪造（CSRF）——常见网站攻击手段原理与防御

最新推荐文章于 2024-10-05 11:16:54 发布

原创最新推荐文章于 2024-10-05 11:16:54 发布 · 1.1k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #CSRF #跨站请求伪造

web前端专栏收录该内容

5 篇文章

订阅专栏

跨站请求伪造攻击即未经许可强迫受害者在另一个站点执行一些行为。

CSRF攻击流程:

第一步：登录受信任网站A，并在本地生成COOKIE。

第二部：在不登出A的情况下，访问微信网站B。

CSRF攻击原理：

Web的隐式身份验证机制只能保证一个请求是来自于某个用户的浏览器，但是无法保证请求是用户批准的。

CSRF防御：

1、验证HTTP Referer字段，保证请求来源地址必须与服务端网站一致。

2、在请求中加入攻击者不能伪造的信息（如Token等）另外：对于表单提交，不同的表单包含一个不同的伪随机数。

3、前端验证码机制（易用性不好）

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

guugle2010

关注关注

2
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

CSRF跨站请求伪造介绍和防御方法

投资自己

05-26

4858

一、CSRF介绍CSRF（Cross-site request forgery）跨站请求伪造，也被称为“OneClick Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。CSRF攻击与防御，web安全的第一防线。攻击流程：用户访问恶意网站B，恶意网站B返回给用户的HTTP信息中要求用户访问网站A，而由于用户和网...

跨站点请求伪造攻击的原理及防御

天外来客的博客

08-28

3963

攻击原理跨站点请求伪造（Cross Site Request Forgery,简称CSRF）能够形成的根本原因是利用了浏览器cookie自动发送的特点。如果浏览器cookie中保存了用户信息，该攻击利用了cookie共享机制获取了用户信息，因此可以正常通过系统的鉴权认证，实现非法操作。下面以网上银行转账的例子来说明该攻击的流程。 1.小明在网上银行（bank.com）转账，浏览器cookie记...

参与评论您还未登录，请先登录后发表或查看评论

跨站请求伪造-CSRF防护方法

03-12

跨站请求伪造-CSRF防护方法跨站请求伪造-CSRF防护方法

跨站请求伪造攻击的基本原理与防范（转载）

diwen7957的博客

07-07

685

摘要：文章介绍了跨站请求伪造攻击的基本情况，并以两种常见的场景作为讲解的范例，分析了该类攻击的主要原理与产生条件。针对跨站请求伪造攻击的主要目标和所利用的漏洞，重点介绍了5种不同的防范方法，并简单的说明5种方法各自的优劣之处。为Web应用系统的安全防范和设计提供参考。　　1 跨站请求伪造简介　　跨站请求伪造（Cross Site Request Forgery，简称CSRF），...

网络安全-跨站请求伪造（CSRF）的原理、攻击及防御

最新发布

wxh的博客

10-05

1642

可以在 HTTP 请求中以参数的形式加入一个随机产生的 token，并在服务器端建立一个拦截器来验证这token，如果请求中没有 token 或者 token 内容不正确，则认为可能是 CSRF 攻击而拒绝该请求。CSRF 攻击之所以能够成功，是因为黑客可以完全伪造用户的请求，该请求中所有的用户验证信息都是存在于 cookie 中，因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。CSRF攻击的过程，往往是在用户不知情的情况下构造了网络请求。

跨站请求伪造（CSRF）攻击：解析与防御策略

一个做过前端开发的产品经理，经历过睿智产品的折磨导致脱发之后，励志要翻身"农奴"把歌唱，一边打入敌人内部一边持续提升自己，为我们广大开发同胞谋福祉，坚决抵制睿智产品折磨我们码农兄弟！

07-22

1068

CSRF攻击发生在当一个恶意网站或链接诱使已登录特定应用的用户点击时，用户的浏览器会自动携带相应的Cookie发送到服务器，导致在用户不知情的情况下执行了恶意请求。这种攻击通常针对敏感操作，如转账、更改密码或提交表单等，因为这些操作往往不需要再次验证用户身份。跨站请求伪造（CSRF）攻击是Web开发中不容忽视的安全隐患。通过理解其原理并采取有效的防御措施，我们可以大大降低被攻击的风险。前端开发者应当熟悉CSRF防御策略，并在实际工作中积极应用，以保护用户数据的安全。

CSRF跨站请求伪造——原理及复现

qq_41679358的博客

08-11

3554

转自行云博客https://www.xy586.top/ 原理 CSRF（Cross-site request forgery）跨站请求伪造：通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性你这可以这么理解CSRF攻击：攻击者盗用了.

精选资源

东南大学网络空间安全实验基础——跨站请求伪造攻击实验

07-07

本实验报告主要讲述了跨站请求伪造攻击（CSRF）的原理和防御方法。CSRF 攻击是一种常见的网络攻击方式，攻击者可以通过欺骗用户来访问恶意网站，从而达到攻击目的。一、实验内容 Task 1：观察 HTTP 请求使用...

CSRF———— （一）跨站伪造请求漏洞示例

weixin_43102772的博客

03-01

310

一、什么是CSRF 1.1简介 csrf（cross-site request forgery）跨站请求伪造。缩写为CSRF或XSRF。CSRF通过利用受信任用户的请求来利用受信任的网站，简单来说，就是利用用户请求来利用网站。 1.2 CSRF和XSS区别 XSS是利用用户对浏览器的信任盗取cookie CSRF是利用网站对用户浏览器的信任对网站发起请求，达到攻击者述求 1.3 CSRF原...

csrf跨站请求伪造简单示例

10-18

一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例

CSRF跨站请求伪造原理

W_seventeen的博客

02-24

483

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“one click attack”或者session riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。CSRF通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。下图是一次...

CSRF跨站请求伪造原理以及防御

互相学习

03-17

506

打V最近重新温习了一遍CSRF，决定写个博客简单记录一下CSRF的原理，方便以后复习之用。 CSRF CSRF的全称为 Cross-site request forgery，中文称为跨站请求伪造。顾名思义就是其他非法网站向合法网站发送被伪造的用户请求。经典场景 CSRF的其中一个经典场景就是银行网银转账。用户Bob登录了网银，并转了100元给朋友，转账完成之后Bob并没有点击登出网银。网...

【web】CSRF跨站(跨域)请求伪造攻击方式

m0_45406092的博客

02-25

817

文章目录1. CSRF是什么？2. CSRF可以做什么？3. CSRF的原理3.1 举例描述原理3.1.1 示例1：3.1.2 示例2：3.1.3 示例3：4. CSRF的防御4.1 服务端进行CSRF防御4.1.1 token4.1.1.1 Cookie Hashing(所有表单都包含同一个伪随机值)：4.1.1.2 验证码4.1.1.3 One-Time Tokens(不同的表单包含一个不同的伪随机值)4.1.2 验证 HTTP Referer 字段4.1.3 在 HTTP 头中自定义属性并验证 1.

CSRF（跨站请求伪造）攻击及防御策略

长风爱跑步去

06-08

948

在HTTP头中自定义属性并验证：在每个请求中添加自定义的HTTP头属性，例如"X-Requested-With"或"X-CSRF-Token"，后端服务器在接收到请求时验证该属性的值。在请求地址中添加Token并验证：在每个页面中嵌入一个随机生成的Token，并将其添加到请求地址的参数中，后端服务器在接收到请求时验证Token的有效性。CSRF防护功能关闭的配置，但直接关闭CSRF防御的方式简单粗暴，不太推荐使用，如果强行关闭后网站可能会面临CSRF攻击的危险，适合在开发过程中测试使用。

CSRF跨站请求伪造原理和防御

一呀一转转圈

11-17

205

如何进行：当你在某网页登录后，在没有关闭网页的情况下，收到别人的链接。例如：http://xxx.xxx.xxx.xxx/dva/csrf/?password_new=1&password_conf=1&Change=Change# 点击链接，会利用浏览器的cookie把密码改掉。主要原理：在没有关闭相关网页的情况下，点击其他人发来的CSRF链接，利用客户端的cookie直接向服务器发送请求。防御手段：检测Referer Anti-CSRF token机制业务上要求

CSRF：跨站请求伪造攻击

qq_68163788的博客

02-05

2441

CSRF（Cross-Site Request Forgery）是一种网络安全攻击，攻击者利用用户已经登录的身份，在用户不知情的情况下发送恶意请求，以执行某些操作或获取用户的敏感信息。攻击者通常会诱使用户访问包含恶意请求的页面，或者通过其他方式注入恶意代码，以触发CSRF攻击。 CSRF攻击通常利用用户在其他网站上的身份验证信息，因此攻击者可以利用这些信息来执行恶意操作，比如更改用户密码、转账、发送消息等。由于CSRF攻击利用了用户的信任和已登录的身份，因此很难被用户察觉。

CSRF跨站请求伪造攻击及防御

认知行动坚持

06-06

3591

产品的安全性，是第一位的。在之前工作中，坏人曾使用CSRF(cross-site request forgery)进行过恶意攻击，今天来聊一下CSRF攻击及防御。顺便提醒大家： 1.遇到不明链接，不要随意乱点。 2. 在登录银行网站后，要记得退出登录，而不是直接关闭网页。

CSRF攻击（跨站请求伪造）和防御

han_code的博客

05-14

846

CSRF 简介 CSRF，全名 Cross Site Request Forgery，跨站请求伪造。很容易将它与 XSS 混淆，对于 CSRF，其两个关键点是跨站点的请求与请求的伪造，由于目标站无 token 或 referer 防御，导致用户的敏感操作的每一个参数都可以被攻击者获知，攻击者即可以伪造一个完全一样的请求以用户的身份达到恶意目的。 CSRF 类型按请求类型，可分为 GET...

这篇研究论文主要探讨了针对跨站请求伪造（CSRF）攻击的强化防御策略。跨站请求伪造是一种常见的网络安全漏洞，攻击者能够通过伪造请求，使用户在不知情的情况下执行非预期的操作。文中提出了一种新的CSRF攻击变种...