csrf漏洞原理及防御

最新推荐文章于 2025-11-07 09:15:00 发布
原创 最新推荐文章于 2025-11-07 09:15:00 发布 · 1k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #前端 #web安全 #安全 #学习 #sql #数据库

从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤

1.登录受信任网站A,并在本地生成Cookie

2.在不登出A的情况下,访问危险网站B

防御原理

csrf能防御的本质是,黑客虽然携带了合法的cookie,但是他不知道带了什么,也没有跨域权限读取网页的任何信息,而网站可以。

1. 判断请求来源

•The Referer header (防火墙,浏览器插件或处于隐私策略会被删除)

•The Origin header (老版本浏览器不支持)

2.表单token验证,在提交表单的请求中添加token参数,后台验证(token需要存储在服务器端,占用内存资源)

3.重复携带token验证,提交请求时前端取到token(可放在页面中或cookie中),后台只需要对比提交的参数和cookie中的token是否相等即可。

未来浏览器的防御方式

通过设置cookie的SameSite属性,来限制请求是否携带cookie,关于samesite的说明如下图

落地措施

前端代码

csrf_token可放在meta,页面,cookie中都可以

1. 表单提交,把csrf_token值放在隐藏域即可

2. 简单get请求,csrf_token拼接到url参数中即可

3. AJax请求:

  • jQuery:

$(“body”).bind(“ajaxSend”, function(elm, xhr, s){

If(csrf_token)

xhr.setRequestHeader(‘X-CSRF-Token’, csrf_token);

});

  • axios:

设置axios.defaults属性即可:

xsrfCookieName: ‘XSRF-TOKEN’, // default

xsrfHeaderName: ‘X-XSRF-TOKEN’, // default

  • Fetch API(如果可以使用Fetch,那肯定可以使用orgin判断来源,这样更好)

•const getHeaders = () => {

• let headers = new window.Headers({

• ‘Content-Type’: ‘application/json’,

• ‘Accept’: ‘application/json’,

• ‘X-Requested-With’: ‘XMLHttpRequest’

• })

• const csrfToken = document.head.querySelector(“[name=‘csrf-token’]”)

• if (csrfToken) { headers.append(‘X-CSRF-Token’, csrfToken) }

• return headers

•}

•export const createRequest = (url, method = ‘get’) {

• const request = new window.Request(url, {

• headers: getHeaders(),

• method: method,

• credentials: ‘same-origin’,

• dataType: ‘json’

• })

• return request

•}

后台代码(此处只描述逻辑)

if(Referer存在且不在白名单) retrun “非法”

if(Origin存在且不在白名单) retrun “非法”

if(对比header中的X-CSRF-Token和cookie中X-CSRF-Token的值,不等) retrun “非法”

🍻支持一下

觉得我写的好的话可以支持一下我哦~持续关注我,会更新其他好玩且实用的项目。

题外话

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要见下图即可前往获取
在这里插入图片描述

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要见下图即可前往获取
在这里插入图片描述

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话见下图即可前往获取
在这里插入图片描述

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要见下图即可前往获取
在这里插入图片描述

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

csrf攻击原理与解决方法
hengliang_的博客
09-10 6120
0x01前言 因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以往我们是从攻击角度分析这种攻击原理和操作。这次我们给出攻击原理同时,给出CSRF在服务器端的防御的解决方案。CSRF是现代WEB程序要面对的共通性问题,在很多流行的WEB框架中,都会将CSRF的问题直接在WEB框架层面解决。 我们先抛出CSRF这个问题,然后介绍基于时间与签名的防护手段,并且给出的这种防御手段的具体代码实现。过程中使用了Lua语言进行实现功能, LUA是一种容易理解的脚本语言,大
【网络安全CSRF详解
2201_75857562的博客
03-09 2909
站请求伪造,冒用Cookie中的信息,发起请求攻击CSRF(Cross-site request forgery)站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。为了更好的防御CSRF,最佳实践应该是结合上面总结的防御措施方式中的优缺点来综合考虑,结合当前Web应用程序自身的情况做合适的选择,才能更好的预防CSRF的发生。
深入理解 Web 安全CSRF 与 XSS 防护机制详解
最新发布
刘一说的IT专栏
11-07 1226
摘要:本文深入剖析了Web应用开发中的两大安全威胁——CSRF站请求伪造)和XSS(站脚本攻击)。针对CSRF,详细讲解了同步令牌模式的防御机制及Spring Security的默认实现方案;针对XSS,强调了输入输出编码的核心防御思想,并给出CSP策略、模板引擎转义等解决方案。文章结合Spring Boot+Spring Security实战场景,提供从基本配置到纵深防御体系的全套安全实践,帮助开发者构建更加安全Web应用。
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
2301_76694151的博客
05-12 527
小明由于刚刚就登陆了Gmail,所以这个请求发送时,携带着小明的登录凭证(Cookie),Gmail的后台接收到请求,验证了确实有小明的登录凭证,于是成功给小明配置了过滤器。小明由于刚刚就登陆了Gmail,所以这个请求发送时,携带着小明的登录凭证(Cookie),Gmail的后台接收到请求,验证了确实有小明的登录凭证,于是成功给小明配置了过滤器。果然,这只是一个什么都没有的空白页面,小明失望的关闭了页面。小明仔细查了下名的转让,对方是拥有自己的验证码的,而名的验证码只存在于自己的邮箱里面。
.NET MVC CSRF/XSRF 漏洞
weixin_30642561的博客
08-17 200
最近我跟一个漏洞还有一群阿三干起来了…… 背景: 我的客户是一个世界知名的药企,最近这个客户上台了一位阿三管理者,这个货上线第一个事儿就是要把现有的软件供应商重新洗牌一遍。由于我们的客户关系维护的非常好,直接对口人提前透露给我们这个管理者就是想让一个阿三公司垄断他们的软件供应,并且表示了非常鄙视。我们表示了理解,毕竟任意一家公司只要进去一个阿三,慢慢的。。。慢慢的。。。就变成满屋都是阿三。。。...
【变废为宝】XSRF漏洞实例讲解
chengman3837的博客
01-05 690
0x01前言 站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF, 是一种挟制用户在当前已登录的Web应用进程上执行非本意的操作的攻击方法。 跟网...
CSRF漏洞原理攻击防御 超详细
qq_48368964的博客
08-13 1642
CSRF(Cross-Site Request Forgery,站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。具体来讲,可以这样理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
CSRF漏洞原理防御方式
dreamthe的博客
09-17 2209
CSRF漏洞原理 CSRF被叫做站请求伪造,该怎么理解这句话呢,比如 用户a在浏览器登录了账号,当他发送登录请求时候,服务器验证了账号密码,会返回给一个身份信息存放在cookie里面,浏览器保存,那么以后用户访问服务器带着这个cookie就行了。那么怎么产生攻击的呢,是用户在已经登录的状态下,访问了一个恶意的网站,带浏览器保存的cookie值向服务器发送了恶意请求,服务器会以为是用户的请求,其实这是用户不知情的请求。垮了两个站,一个是用户登录实际网站,一个屙屎攻击者恶意构造网站,所以称作站请求伪造。
CSRF漏洞原理攻击防御
A526847的博客
05-13 1241
了解CSRF的机制之后,危害性我相信大家已经不言而喻了,我可以伪造某一个用户的身份给其好友发送 垃圾信息,这些垃圾信息的超链接可能带有木马程序或者一些欺骗信息(比如借钱之类的),如果CSRF 发送的垃圾信息还带有蠕虫链接的话,那些接收到这些有害信息的好友万一打开私信中的链接就也成为 了有害信息的散播着,这样数以万计的用户被窃取了资料种植了木马。而如果黑客要 对银行网站实施 CSRF 攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行 时,该请求的 Referer 是指向黑客自己的网站。
DWVA之csrf漏洞原理防御及练习
m0_71635484的博客
03-16 611
DWVA之csrf漏洞原理防御及练习
CSRF漏洞——原理防御
cldimd的博客
03-21 7093
CSRF漏洞原理 CSRF(Cross Site Request Forgery, 站请求伪造)是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 CSRF漏洞是因为web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求头中的r...
CSRF漏洞原理攻击防御(非常细)
资深程序员,曾自学JAVA,C#,如今从业于网安行业
03-14 7041
CSRF (Cross-site request forgery,站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
web安全性(XSS、XSRF/CSRF攻击和防范)
winne雪
12-10 1014
一、XSS 站脚本攻击(也称为XSS(cross-site scripting 的缩写))指利用网站漏洞从用户那里恶意盗取信息。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本js。 1、攻击方式举例: 在文章中发表评论的时候偷偷插入一段< script>…< /scr...
XSS、CSRF、SSRF漏洞原理以及防御方式
Love_Naive的博客
09-03 5866
这里写目录标题XSSXSS攻击原理:XSS的防范措施主要有三个:编码、过滤、校正CSRFCSRF攻击攻击原理及过程如下:CSRF攻击的防范措施:SSRFSSRF漏洞攻击原理以及方式SSRF漏洞攻击的防范措施XMLXSS、CSRF、SSRF的区别XSS、CSRF的区别 XSS XSS(Cross Site Scripting):脚本攻击。 XSS攻击原理: 不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。 X
CSRF(站请求伪造)
无痕的博客
01-18 8861
csrf站请求伪造介绍、csrf攻击在dvwa环境中的应用
Web 安全CSRF原理和攻防
Mark
08-08 4188
1、CSRF 是个啥? CSRF站请求伪造(Cross Site Request Forgery),它和 XSS 的攻击性相当,危害性也很大。 举个例子,小明今天打开电脑登录 qq,然后去别的网站找苍老师的学习视频,正在津津有味的学习的过程中,这时候走入了CSRF攻击流程!这个网站的内容是大黑客精心布局的,画面非常刺激。典型的 CSRF 攻击就是点击 B 网站,影响 A 网站。比如, 点击黄网, qq 被盗。 其原理通俗点讲就是:攻击者盗用了你的身份,并以你的名义发送恶意请求或消息,盗取你的
CSRF简介
热门推荐
qq_45803593的博客
05-12 4万+
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状 CSRF这种攻击方式在2000年
Web安全-检测-CSRF
AG9GgG的博客
10-14 1978
背景知识 请求伪造(CSRF,Cross Site Request Forgery)是一种网络攻击方式,它在2007年曾被列为互联网20大安全隐患之一。 网站是通过cookie来识别用户的,当用户成功进行身份验证之后,浏览器就会得到一个标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问这个网站就会带上这个cookie。如果这期间浏览器被人控制着请求了这个网站的url,可能就会执...
深度解析:CSRF漏洞原理防御策略
CSRF漏洞,全称为Cross-Site Request Forgery,是一种常见的Web安全问题,常常被列入OWASP十大最...CSRF漏洞Web开发中必须重视的问题,开发人员需要采取多种防御措施,并时刻关注技术更新以应对不断演变的攻击手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值