注意安全(2)!XSRF跨站伪造请求

最新推荐文章于 2024-11-15 16:23:21 发布
最新推荐文章于 2024-11-15 16:23:21 发布
阅读量2.8k 收藏
点赞数
分类专栏: 网络安全 文章标签: xsrf 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hyx0720/article/details/53352673
版权
本文介绍了XSRF(跨站伪造请求)的攻击原理,指出其利用用户浏览器的cookie欺骗服务器进行恶意操作。同时,讨论了CORS在跨域请求中的角色,并提出两种防御策略:限制CORS的源白名单和使用Token进行二次身份验证。通过示例代码展示了如何在服务器端实施这些防御措施,提醒前端开发者关注网络安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

说明: 感觉简书上讨论技术的并不多,把一部分博文转到优快云上,希望可以和各位同学一起学习讨论。

上一篇我们说了用脚本注入去攻击小熊哥的博文评论。普通的脚本注入很容易就被前端后台全方位的脚本过滤给处理掉,完全没有杀伤力。一般来说遇到<, > , =” 等等可能加载执行脚本的用户输入,转换为&lt ; & gt ; 等等即可作为数据打印到 DOM 中,而不是作为脚本执行。详细情况参考上一篇文章 。我敢保证,@Swanky 肯定是受了我的蛊惑去 POST 了 三万多条评论导致被 @简书首席封号官 封号了。

伪造请求的过程

这次来说说伪造请求(Cross Site Request Forgery)的事情。通俗点讲就是 有人给你发送了一个链接,然后你手贱点开,是看起来很正常的网页(A.com/index.html),结果暗中被发送了一个指向 招商银行转账服务(B.com/transfer) 的POST请求,这个请求是攻击者在A.com/index.html 脚本中伪造的,因此请求的发送方属于A.com域,而不属于B.com/transfer 的域, 所以叫做 跨站伪造请求

// attack.html. 为了在这个伪造的网页中自动发送请求并且带上 受害用户的cookie,
// 一般都会在hidden iframe中加载一份正规网站的页面,而且攻击表单也是隐藏的。
// 表面上这个伪造网页是很正规的,并无异常。
  <form id="thisForm" method="POST" target="_blank" action="http://www.bank.com/transfe
最低0.47元/天 解锁文章
【web安全】——CSRF跨站请求伪造
wxh的博客
10-05 1444
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求
跨站请求伪造(CSRF)漏洞详解
CoffeMilk的博客
09-21 1485
跨站请求伪造(Cross-site request forgery 简称:CSRF);是一种冒充受信任用户,向服务器发送非预期请求的攻击方式(它允许攻击者诱使用户执行他们不打算执行的操作;允许攻击者部分绕过同源策略,该策略旨在防止不同网站相互干扰)【CSRF主要利用的是网站对用户网页浏览器的信任】【XSS 利用的是用户对指定网站的信任】。 跨站请求伪造的攻击特性是危害性大但非常隐蔽,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。
跨站请求伪造
bnrmaster的博客
10-28 7990
跨站请求伪造
跨站请求伪造(CSRF)
佳佳的博客
03-07 1万+
跨站请求伪造(CSRF) 概念 CSRF,全称为Cross-Site Request Forgery,跨站请求伪造,是一种网络攻击方式,它可以在用户毫不知情的情况下,以用户的名义伪造请求发送给被攻击站点,从而在未授权的情况下进行权限保护内的操作。 具体来讲,可以这样理解CSRF。攻击者借用用户的名义,向某一服务器发送恶意请求,对服务器来讲,这一请求是完全合法的,但攻击者确完成了一个恶意操...
跨站请求伪造
记录或发现工作问题,予以解决
04-15 4738
安全报告中会提示vue打包后的js文件,可以通过模拟请求头的文件进行发送请求,才从而变得不安全,为了防止这种事情发生,需要通过nginx的代理进行控制除了服务器的ip以及baidu的ip地址,其余的模拟请求地址不允许访问该js文件。
【Web漏洞探索】跨站请求伪造漏洞
kjcxmx的博客
07-08 2678
跨站请求伪造Cross-site request forgery(也称为CSRF、XSRF)是一种Web安全漏洞,允许攻击者诱导用户执行他们不打算执行的操作。攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。它允许攻击者部分规避同源策略,该策略旨在防止不同网站相互干扰。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实
【已解决】跨站请求伪造
少年你真的要止步于此嘛
06-16 5413
解决跨站请求伪造
Django CSRF跨站请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
什么是CSRF(跨站请求伪造)?
流楚丶格念的博客
02-13 2262
文章目录1. CSRF是什么?1.1 CSRF攻击细节CSRF攻击原理及过程如下:2. CSRF漏洞检测3. 防御CSRF攻击:3.1 验证 HTTP Referer 字段3.1.1 优点:3.1.2 缺点:3.2请求地址中添加 token 并验证3.3 在 HTTP 头中自定义属性并验证 1. CSRF是什么? CSRF(Cross-site request forgery),也被称为:one click attack/session riding,中文名称:跨站请求伪造,缩写为:CSRF/XSRF
伪造身份请求怎么办?看这篇就够了
量子前端的博客
02-09 1282
我们可以在客户端和服务端的通信中加入一个额外的约定签名,签名可以由当前时间戳信息、设备ID、日期、双方约定好的秘钥经过一些加密算法构造而成加密解密方式互相约定好,这样攻击者就算拿到了。身份鉴权方案,token会作为主要的鉴权方式来作为前后端通信校验的凭证,当该token被篡改或者直接被第三方拿到,就可以伪造该用户做一系列业务操作,是一种非常严重的安全漏洞。打印出来的用户名是jack,不是aaa,当然校验失败了,这下我们的伪造解决方案实现了,我们可以把这一层逻辑全部集成在一个中间件上。
安全漏洞问题4:跨站请求伪造
weixin_34128411的博客
11-21 517
安全漏洞问题4:跨站请求伪造1.1. 漏洞描述跨站请求伪造(CSRF)是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击者只要借助少许的社会工程诡计,例如通过电子邮件或者是聊天软件发送的链接,攻击者就能迫使一个Web应用程序的用户去执行攻击者选择的操作。在跨站请求伪造攻击中,攻击者构造恶意URL请求,然后诱骗合法用户访问此U...
跨站请求伪造解决_WEB开发常见的安全漏洞和解决思路
weixin_39620273的博客
12-08 1651
一,SQL注入SQL注入时web开发中最常见也是危害性最大的安全漏洞,SQL注入攻击可能会导致 服务器故障,数据泄漏,数据被恶意删除等等严重后果。SQL注入最常见的方式有:1.布尔型盲注在互联网刚刚兴起的时候,该方法常常会被用来恶意登录一些安全性不高的网站:SELECT * FROM users WHERE user_name ='zhangsan' and password ='mima';如果...
CSRF 伪造用户请求攻击
枫梓林のBlog
05-02 1440
CSRF 伪造用户请求攻击 文章目录CSRF 伪造用户请求攻击0x01 CSRF 原理1.CSRF 漏洞的定义2.XSS与 CSRF的区别3.CSRF 的简单理解4.CSRF 实验环境0x02 基于 DVWA 的 low 级别演示 CSRF 攻击1.查看源代码2.构造URL 链接3.验证CSRF 攻击4.构造恶意链接5.短链接介绍0x03 基于 DVWA 的 Medium 级别演示 CSRF 攻击1.查看源代码并简单测试2.通过抓包修改密码和通过其他页面提交请求的区别2.1 抓取正常的 HTTP请求,修改密
跨站请求伪造CSRF
浪漫鼠
05-27 3176
以下转自:http://www.cnblogs.com/dolphinX/p/3403520.html CSRF是Cross Site Request Forgery的缩写,乍一看和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。 在XSS危害——session 劫持中我们提到了session原理,用户登录后会把登录信息存放在
白帽子讲Web安全(第 4 章 跨站请求伪造( CSRF ))
sports-boy的博客
08-06 225
第 4 章 跨站请求伪造( CSRF ) CSRF 的全名是 Cross Site Request Forgery,翻译成中文就是跨站请求伪造。 4.1 CSRF 简介 4.2 CSRF 进阶 4.2.1 浏览器的 Cookie 策略 攻击者伪造请求之所以能够被搜狐服务器验证通过,是因为用户的浏览器成功发送了 Cookie 的缘故。 浏览器所持有的 Cookie 分为两种: “ Session Cookie ”,又称“临时 Cookie ”,保存在浏览器进程的内存空间中; “ Third-party
跨站请求伪造(CSRF)
feigeswjtu的专栏
05-16 769
跨站请求伪造(CSRF)顾名思义就是在其他非法网站调用了正常网站的接口,攻击的方法是在页面中包含恶意代码或者链接,攻击者认为被攻击的用户有权访问另一个网站。如果用户在那个网站的会话没有过期,攻击者就能执行未经授权的操作。
漏洞修复-跨站请求伪造【高危】
最新发布
weixin_46247049的博客
11-15 703
工作中渗透测试检测出,跨站请求伪造漏洞进行修复的记录。使用过滤器即可修复。
如何解决跨站请求伪造
热门推荐
沉底的石头
11-21 3万+
IBM appscan扫描漏洞--跨站请求伪造 appscan修订建议: 如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie  的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求。 攻击者无法猜测这个参数的原因是应用于 cookie  的“同源策
客户端支持防止csrf/xsrf(跨域请求伪造)
09-15
客户端支持防止CSRF/XSRF跨站请求伪造)的方法主要包括以下几种: 1. 验证码:在敏感操作如支付、修改密码等环节,向用户发送验证码,要求用户输入正确的验证码后才允许进行操作。这样可以有效防止CSRF攻击,因为攻击者无法获取有效的验证码。 2. Token验证:在用户登录时生成一个随机的Token,并将其储存在Session或Cookie中,每次向服务器发起请求时都需要将该Token一同发送。服务器接收到请求后会校验Token的合法性,如果无效则拒绝该请求。这可以防止CSRF攻击者盗用用户身份发起恶意请求。 3. Referer检查:在HTTP头部中会包含Referer字段,用于表示请求来源。服务器可以根据Referer字段的值判断请求是否来自合法来源,如果不是则拒绝请求。但需要注意的是,Referer字段不是必须的,而且可能被篡改,因此这种方法并不是绝对可靠。 4. SameSite Cookie属性:使用SameSite属性可以限制Cookie的发送,使其只在同一站点下请求时才会被发送。这样可以防止跨域请求中Cookie的被盗用。但需要注意的是,SameSite属性支持程度不同浏览器有所差异,不同浏览器可能需要额外的配置或使用其他方法来提供更好的保护。 总体而言,以上几种方法并非绝对安全,各自有一定的局限性。因此,最好的防范方法是综合使用多种防护措施,加强客户端和服务端的安全防护。此外,开发人员还应持续关注最新的安全技术和漏洞情报,及时更新和修复系统,确保用户数据的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值