在header中添加自定义属性防止CSRF

最新推荐文章于 2025-04-20 22:28:53 发布
最新推荐文章于 2025-04-20 22:28:53 发布
阅读量8.9k 收藏 6
点赞数 2
CC 4.0 BY-SA版权
分类专栏: php 网站安全 文章标签: csrf-php csrf-ajax ajaxheader
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lc20008/article/details/78076119

在header中添加自定义属性防止CSRF
一、 概述
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 

你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账等造成的问题包括:个人隐私泄露以及财产安全。

二、目前行业常见的防御方式
1.验证Referer;
2.使用验证码,用户体验比较差;
3.使用CSRF token,又分为在form表单中添加隐藏域携带token和在header中添加自定义参数携带token;
4.在请求地址中添加token并验证。
三、具体实现步骤
本文对于二中第3种方式的在请求header中添加自定义参数进行csrf参数进行防御进行实战介绍,该方式适合使用ajax异步提交表单和请求时使用。
1)在服务端做全局的token生成,token为一次性令牌(one-time token)令牌周期依赖于session的生命周期
示例:

            $csrf_token = md5(uniqid(rand(), TRUE));
            $_SESSION['csrf_token_name'] = $csrf_token;

2) 在前端得到token值

<form method="POST" action='target.php'>
money:<input type='text' name='money'>
<input type='hidden' name='csrf_token_name' value="<?=$_SESSION['csrf_token_name'];?>">
bank:<input type='text' name='toBankId'>

<input type='submit' name='submit' value='submit'>
 </form>

为了书写方便,可以将<input type='hidden' name='csrf_token_name' value="<?=$_SESSION['csrf_token_name'];?>">
封装成一个方法,前端页面直接调用即可。

3)ajax提交表单数据
改写jQuery中以下部分

    if ( s.crossDomain == null ) {
            parts = rurl.exec( s.url.toLowerCase() );
            s.crossDomain = !!( parts &&
                ( parts[ 1 ] != ajaxLocParts[ 1 ] || parts[ 2 ] != ajaxLocParts[ 2 ] ||
                    ( parts[ 3 ] || ( parts[ 1 ] === "http:" ? 80 : 443 ) ) !=
                        ( ajaxLocParts[ 3 ] || ( ajaxLocParts[ 1 ] === "http:" ? 80 : 443 ) ) )
            );
        }

        // Convert data if not already a string
        if ( s.data && s.processData && typeof s.data !== "string" ) {
            if(s.type.toUpperCase()=="POST"){
                if(s.data && s.data['csrf_token_name'] != undefined){
                    s.headers =  s.headers || {},
                    s.headers['Csrf-Token-Name'] = s.data['csrf_token_name'];
                    delete s.data['csrf_token_name'];
                }
            }

            s.data = jQuery.param( s.data, s.traditional );
        }

这样可以全局获取token并且将token附在header中Csrf-Token-Name上,提交至服务端。
4)服务端进行验证

        if (strtoupper($_SERVER['REQUEST_METHOD']) !== 'POST')
        {
            return true;
        }
        if($this->is_need_check_csrf()==false){
            return true;
        }
        $session_hash = $_SESSION['csrf_token_name'];
  $request_method = 2;

        if (isset($_SERVER['HTTP_X_REQUESTED_WITH']) &&  $_SERVER['HTTP_X_REQUESTED_WITH'] === 'XMLHttpRequest') {
           $request_method = 1;
            $_scrf_key = "HTTP_Csrf_Token_Name";
            $valid = isset($_SERVER[$_scrf_key], $session_hash) && hash_equals($_SERVER[$_scrf_key],$session_hash);

        }
        else {
            $valid = isset($_POST['csrf_token_name'], $session_hash)
                && hash_equals($_POST['csrf_token_name'], $session_hash);
unset($_POST['csrf_token_name']);

        }
        csrf_regenerate(); 

        if ($valid !== TRUE)
        {
            if($request_method == 1){
                echo json_encode(array("statusCode"=>500,"errors"=>"页面停留时间过长,请刷新页面"));
                exit;
            }else if($request_method ==2){
                if(isset($_SERVER['HTTP_REFERER'])){
                    $referer=$_SERVER['HTTP_REFERER'];
                    header("Location: $referer");
                    exit;
                }else{
                    header("Location: /");
                    exit;
                }
            }
        }

验证请求是否合法,对于ajax请求返回json数据。
5)前端接收后端返回数据
如果请求验证通过,进行后续的业务处理,如果验证不通过,返回500状态码,前端页面进行刷新操作,提示停留时间过长造成的(可能的原因是长时间没操作,session过期,或者同一个页面多次打开,该token值已被其他tab使用过了),此时系统自动刷新当前页面。对于请求验证通过,但是页面不成功的情况,需要用户再次进行操作,此时需要请求回带新的token(x_token)回来。

// If not modified
                if ( status === 304 ) {

                    statusText = "notmodified";
                    isSuccess = true;

                // If we have data
                } else {

                    try {
                        success = ajaxConvert( s, response );
                        statusText = "success";
                        isSuccess = true;
                    } catch(e) {
                        // We have a parsererror
                        statusText = "parsererror";
                        error = e;
                    }
                }
                var t = JSON.stringify(response);
                if(t && t.statusCode != undefined && t.statusCode!=200 && t.data!=undefined && t.data.x_token != undefined){
                    $("input[name=csrf_token_name]").val(t.data.x_token);
                }
                if(t && t.statusCode != undefined && t.statusCode == 500){
                   setTimeout(function() {
                        location.reload();
                    }, 1000);
                }
C# Web防御CSRF的三重盾牌:如何让黑客的“钓鱼邮件”变成“自投罗网”?
java专栏
03-18 1820
的三连招,让CSRF攻击变成“自投罗网”!
Django 4.x CSRF 站点保护示例和使用配置方法
热门推荐
Mr数据杨
11-04 3万+
在现代Web开发中,安全性是不可忽视的重点之一。跨站请求伪造(CSRF)是一种常见的攻击手段,可能会给Web应用带来严重的安全风险。为了应对这种攻击,Django提供了一套完整的CSRF防护机制,帮助开发者在构建Web应用时,确保请求的合法性和安全性。
koa-csrf-header:检查 HTTP 标头字段中的 CSRF 令牌
05-30
Koa CSRF 头验证 的不支持将 CSRF 令牌验证为 HTTP 标头字段。 该软件包专门提供了该替代方案。 此方法需要启用客户端 JavaScript 来制作 AJAX 请求,但验证 HTTP 标头字段会更方便,因为您的表单模板不需要关心输出隐藏字段。 如果 Koa 团队提供的包在未来支持 header 中的验证,这个包将被弃用。 更新: koa-csrf包实际上接受 HTTP 标头中的 CSRF 令牌。 它只是没有记录。 我建议使用官方软件包而不是这个。 安装 $ npm install --save koa-csrf-header 用法 有多种方法可以在整个用户会话中存储 CSRF 令牌。 还有多种方法可以向下游发送 CSRF 令牌。 这个包对所有方法都是不可知的。 默认情况下, ctx.session.csrfToken用于保留令牌。 这是一个使用默认选项的示例。
Http请求header自定义属性支持跨域的设置
zhangfx5的博客
09-24 3736
在http请求Header中会有自带的一些属性,如Accept,Accept-Encoding,Cookie,Origin,Referer,Host等属性外,还可以根据自己的需求额外的增加自定义属性,也是key-value 这种格式,这个没有什么好说的了,只不过在跨域的时候,需要特殊处理下,否则会一直提示自定义属性跨域;在Access-Control-Allow-Headers 属性中加上自定义属性,用逗号分隔 ...
自定义请求头导致跨域的解决办法
最新发布
Desamond的博客
04-20 332
本文主要介绍如何解决自定义请求头导致的跨域问题
HTTP头中增加自定义属性然后post请求第三方的页面
z69183787的专栏
05-09 2万+
场景是这样的,第三方页面访问需要鉴权,所以需要在HTTP头中增加鉴权的属性和内容发送给第三方网页。 我试过用response.addHeader("Authorization","xxxxxxxxx")方法,但发送的请求还是不带Authorization属性,还请大牛们不吝指教。 你这个问题实际上是服务器访问第三方鉴权系统,这个访问过程和客户端没关系的 和response,req
uniapp之request自定义header添加多个属性
m0_72111273的博客
09-08 2099
字段,我一般没怎么用过uniapp的request都是使用axios组件,事后经过测试,发现了问题,并非。无法在请求头中自定义字段,而是操作不当。时,发现在浏览器调试时,无法在请求头。在header中如果添加了。
关于在header里增加参数的方式
weixin_30794851的博客
08-14 1566
在使用一个API的时候,文档里写的返回值类型是json,可是试了下返回的明明是xml,还小小的鄙视了一把。 可是解析xml,好麻烦的。最好是json可以直接decode 。 意外看到文档下面有一句 JSONresponsecanbeobtainedbyincludingthefollowingheadersintherequest'response-json'=t...
如何防止CSRF攻击?
ccyzq的博客
03-17 4637
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
Django框架之csrf跨站请求
qq_53842456的博客
11-24 1707
csrf校验是一种用于防止跨站请求伪造(Cross-Site Request Forgery)攻击的安全措施。
**中防止CSRF攻击:跨站请求伪造防护指南,保护您的应用
![CSRF攻击]...攻击者通常会利用用户在浏览器中已经认证的状态,发起恶意的请求,而这个请求会携带用户的会话信息,导致Web应用无法区分
CSRF
chjunjun的博客
09-27 681
CSRF,即 Cross Site Request Forgery,中译是跨站请求伪造,是一种劫持受信任用户向服务器发送非预期请求的攻击方式。 简单来说,攻击者盗用了你的身份,并以你的名义发送恶意请求。 通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操...
struts2拦截器的使用与配置
.
12-10 550
拦截器和过滤器是类似的东西,它们的实现原理相同,但是却不是同一种东西,过滤器是web容器层面的,而拦截器是像struts2这样的控制器层面的。struts2本身就通过拦截器进行了诸如:参数注入,类型转换,… 当然我们也可以自定义拦截器,方法如下: 继承AbstractInterceptor,重写intercept方法 2.
axios在请求头上添加属性
qq_45208029的博客
05-07 1072
1.post方法发送请求(在headers添加sourceType属性) export const orderCommit = (params, headers) => { return http.post(api.ORDER_COMMIT, params, { headers: headers }) } let headers = {sourceType: 2}; const orderDetail = await orderCommit(params, he
【JS】JS获取cookie里的csrftoken并添加header
10相濡以沫
08-18 4119
Django需要csrftoken来进行CSRF的防御 既然是前后端都自己写,肯定不能整@csrf_exempt这样的办法 JS用正则表达式获取cookie var regex = /.*csrftoken=([^;.]*).*$/ ; var xCSRFToken = document.cookie.match(regex) === null ? null : document.cookie.match(regex)[1] cookie的样式 Cookie: sessionid=tc3prqefkjt7
跨域 · 后台设置:头部header(服务器端添加属性属性值,浏览器端获取属性及其值) - 数据篇
草巾冒小子的博客
03-11 3636
跨域:头部header自定义属性 (服务器端添加属性属性值,浏览器端获取属性及其值) headers 服务端配置 # For more information on configuration, see: # * Official English Documentation: http://nginx.org/en/docs/ # * Official Russian Docume...
java referer伪造_通过判断请求Header中的Referer防止伪造请求
weixin_35641153的博客
02-19 1040
其实不会根本性的解决这个问题。解决方法:在web.xml中增加:refererFilterltd.miku.web.securityenhance.xss.RefererFilterrefererFilter/*REQUEST然后RefererFilter的内容是:import com.inspur.ssr.web.system.service.impl.ExpireSessionImpl;imp...
设置Headers属性模拟浏览器
Zb_Xl的博客
07-14 1269
报头即请求报头(Request Header)是在发送 HTTP 请求时包含的一系列信息(按F12在网络下面可以找到,如果没有出现就按F5刷新),用于告诉服务器关于请求的详细信息和客户端的身份标识。它通常以键值对的形式组成,每个键值对表示一个具体的请求头字段和对应的值。上述代码爬取了经管之家的页面,并将页面保存在一个叫7.13的HTML文件中,keyword是搜索的关键词。User-Agent:用于标识发起请求的客户端身份信息,包括操作系统、浏览器等。Referer:表示当前请求的来源页面的 URL。
浏览器的模拟——Headers属性
u013109501的博客
08-23 2497
有的时候,我们无法爬取一些网页,会出现403错误,因为这些网页为了防止别人恶意采集其信息所以进行了一些反爬虫的设置。 那么可以设置Header信息,模拟浏览器去访问这些网站,此时,就能解决这个问题。添加User-Agent的两种方法 方法一:使用build_opean()修改包头 import urllib.request url="https://blog.youkuaiyun.com/u0131...
请求头中无法添加token
03-10
<think>好的,我现在需要解决如何在HTTP请求头中正确添加token认证的问题。用户提到遇到了在请求头中无法添加token的情况,我需要根据提供的引用资料和已有的知识来找出解决方法。 首先,我要回顾一下用户提供的引用内容。引用[1]提到可以通过XMLHttpRequest在HTTP头中自定义属性,比如加入csrftoken,并且这种方法避免了将token放在URL参数中的不便,同时防止Referer泄露。引用[2]展示了客户端在访问接口时成功将token写入请求头,服务端也能正确接收。引用[3]和[4]则涉及JWT的结构和如何在Java中使用,提到token由Header、Payload、Signature三部分组成,客户端需要在header中加入token,服务器通过拦截器验证。 接下来,我需要分析用户可能遇到的问题场景。无法添加token可能有几种情况:前端代码未正确设置请求头、后端未正确解析请求头、或者跨域问题导致请求头被拦截。例如,用户可能在用JavaScript发送请求时,没有正确设置headers,或者在跨域请求时,服务器没有允许Authorization头。 然后,根据引用资料中的解决方案,分步骤解决。首先,前端部分需要使用XMLHttpRequest或者Fetch API来设置请求头,添加token。例如,在JavaScript中,设置headers的Authorization字段为Bearer加上token。引用[1]和[3]都提到了这一点。同时要注意,如果是跨域请求,需要确保服务器设置了CORS策略,允许相应的头信息,比如Access-Control-Allow-Headers包含Authorization。 接着,后端需要验证token。服务器端应配置拦截器或中间件,从请求头中提取token,并进行解密和验证。引用[3]提到使用拦截器方式获取header中的token,并进行校验。例如,在Spring Boot中,可以使用JWT库解析token,检查签名是否有效,是否过期等。 此外,需要注意token的生成是否符合JWT标准,如引用[4]所述,确保Header、Payload、Signature正确生成,并且签名部分使用正确的密钥。如果生成token时出现问题,可能导致后端无法解析。 可能的错误点包括:前端未正确设置请求头字段名称(比如大小写不一致),token未正确拼接Bearer前缀,或者服务器CORS配置未包含必要头信息。需要逐一排查这些方面。 最后,给出具体的代码示例,帮助用户理解如何在前端和后端实现token的添加和验证。同时,提醒用户注意安全措施,如使用HTTPS传输、定期更换密钥等,以防止token泄露或被篡改。</think>### 如何在HTTP请求头中正确添加Token认证? #### 一、添加Token的核心步骤 1. **生成Token** 使用标准方法(如JWT)生成包含Header、Payload、Signature的Token字符串[^4]。 示例生成JWT Token的Python代码: ```python import jwt secret_key = "your-secret-key" payload = {"user_id": 123} token = jwt.encode(payload, secret_key, algorithm="HS256") ``` 2. **前端设置请求头** - **XMLHttpRequest(传统方式)** 通过`setRequestHeader`方法添加`Authorization`字段: ```javascript var xhr = new XMLHttpRequest(); xhr.open("GET", "https://api.example.com/data"); xhr.setRequestHeader("Authorization", "Bearer " + token); xhr.send(); ``` - **Fetch API(现代方式)** 在`headers`属性中定义: ```javascript fetch("https://api.example.com/data", { headers: { "Authorization": `Bearer ${token}`, "Content-Type": "application/json" } }); ``` > 注意:`Bearer`是常见前缀,需与后端约定格式[^3]。 3. **后端验证Token** - **拦截请求**:通过中间件或拦截器读取请求头中的Token。 - **解析验证**:使用JWT库检查签名、过期时间等。 示例(Node.js Express): ```javascript const jwt = require('jsonwebtoken'); app.use((req, res, next) => { const token = req.headers.authorization?.split(' ')[1]; try { const decoded = jwt.verify(token, secret_key); req.user = decoded; next(); } catch (err) { res.status(401).send("Invalid token"); } }); ``` #### 二、常见问题排查 | 问题现象 | 可能原因 | 解决方案 | |---------|----------|----------| | 请求头未携带Token | 前端未正确设置Header | 检查代码是否调用`setRequestHeader`或`headers`属性 | | 后端返回`401 Unauthorized` | Token格式错误或过期 | 检查是否包含`Bearer`前缀,验证Token有效期 | | 跨域请求失败(CORS) | 服务器未允许`Authorization`头 | 后端需设置:`Access-Control-Allow-Headers: Authorization`[^1] | #### 三、安全建议 - **HTTPS传输**:避免Token在明文传输中被截获。 - **短期有效期**:设置Token过期时间(如1小时)。 - **存储安全**:前端避免将Token存在LocalStorage(易受XSS攻击),推荐使用HttpOnly Cookie。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值